Étendre la couverture de recherche avancée avec les bons paramètresExtend advanced hunting coverage with the right settings

Important

Le Centre de sécurité Microsoft 365 est à présent disponible.The improved Microsoft 365 security center is now available. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender et bien plus encore dans le Centre de sécurité Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Découvrir les nouveautés.Learn what's new.

S’applique à :Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender pour point de terminaisonMicrosoft Defender for Endpoint

La recherche avancée repose sur des données provenant de différentes sources, notamment vos appareils, vos espaces de travail Office 365, Azure AD et Microsoft Defender pour l'identité.Advanced hunting relies on data coming from various sources, including your devices, your Office 365 workspaces, Azure AD, and Microsoft Defender for Identity. Pour obtenir les données les plus complètes possibles, assurez-vous que vous avez les paramètres corrects dans les sources de données correspondantes.To get the most comprehensive data possible, ensure that you have the correct settings in the corresponding data sources.

Audit de sécurité avancée sur les appareils WindowsAdvanced security auditing on Windows devices

Activer ces paramètres d'audit avancés pour vous assurer que vous obtenez des données sur les activités sur vos appareils, notamment la gestion des comptes local, la gestion des groupes de sécurité locaux et la création de services.Turn on these advanced auditing settings to ensure you get data about activities on your devices, including local account management, local security group management, and service creation.

DataData DescriptionDescription Table schemaSchema table Procédure de configurationHow to configure
Gestion des comptesAccount management Événements capturés en tant que différentes valeurs indiquant la création, la suppression et d'autres activités liées ActionType au compte localEvents captured as various ActionType values indicating local account creation, deletion, and other account-related activities DeviceEventsDeviceEvents - Déployer une stratégie d'audit de sécurité avancée : auditer la gestion des comptes d'utilisateurs- Deploy an advanced security audit policy: Audit User Account Management
- En savoir plus sur les stratégies d'audit de sécurité avancées- Learn about advanced security audit policies
Gestion des groupes de sécuritéSecurity group management Événements capturés en tant que différentes valeurs indiquant la création d'un groupe de ActionType sécurité local et d'autres activités de gestion des groupes locauxEvents captured as various ActionType values indicating local security group creation and other local group management activities DeviceEventsDeviceEvents - Déployer une stratégie d'audit de sécurité avancée : auditer la gestion des groupes de sécurité- Deploy an advanced security audit policy: Audit Security Group Management
- En savoir plus sur les stratégies d'audit de sécurité avancées- Learn about advanced security audit policies
Installation du serviceService installation Événements capturés ActionType avec la valeur , indiquant ServiceInstalled qu'un service a été crééEvents captured with the ActionType value ServiceInstalled, indicating that a service has been created DeviceEventsDeviceEvents - Déployer une stratégie d'audit de sécurité avancée : auditer l'extension du système de sécurité- Deploy an advanced security audit policy: Audit Security System Extension
- En savoir plus sur les stratégies d'audit de sécurité avancées- Learn about advanced security audit policies

Capteur Microsoft Defender pour l'identité sur le contrôleur de domaineMicrosoft Defender for Identity sensor on the domain controller

Si vous exécutez Active Directory en local, vous devez installer le capteur Microsoft Defender pour l'identité sur le contrôleur de domaine pour obtenir des données pour Microsoft Defender pour l'identité.If you're running Active Directory on premises, you need to install the Microsoft Defender for Identity sensor on the domain controller to get data for Microsoft Defender for Identity. Lorsqu'elles sont installées et configurées correctement, ces données sont également intégrées au recherche avancée via Microsoft Defender for Identity et fournissent une image plus globale des informations d'identité et des événements de votre réseau.When installed and properly configured, this data also feeds into advanced hunting through Microsoft Defender for Identity and provides a more holistic picture of identity information and events in your network. Ces données améliorent également la capacité de Microsoft Defender pour l'identité à générer des alertes pertinentes qui sont également couvertes par le chasse avancée.This data also enhances the ability of Microsoft Defender for Identity to generate relevant alerts that are also covered by advanced hunting.

DataData DescriptionDescription Table schemaSchema table Procédure de configurationHow to configure
Contrôleur de domaineDomain controller Données provenant d'Active Directory local envoyées à Microsoft Defender pour l'identité, enrichissant les informations relatives à l'identité, telles que les détails du compte, l'activité d'accès et les requêtes Active DirectoryData from on-premises Active Directory sent to Microsoft Defender for Identity, enriching identity-related information, such as account details, logon activity, and Active Directory queries Plusieurs tables, y compris IdentityInfo, IdentityLogonEventset IdentityQueryEventsMultiple tables, including IdentityInfo, IdentityLogonEvents, and IdentityQueryEvents - Installer le capteur Microsoft Defender pour l'identité- Install the Microsoft Defender for Identity sensor
- Activer les événements Windows pertinents- Turn on relevant Windows Events

Notes

Certains tableaux de cet article peuvent ne pas être disponibles dans Microsoft Defender pour Endpoint.Some tables in this article might not be available in Microsoft Defender for Endpoint. Activer Microsoft 365 Defender pour qu'il recherche les menaces à l'aide de sources de données plus nombreuses.Turn on Microsoft 365 Defender to hunt for threats using more data sources. Vous pouvez déplacer vos flux de travail de recherche avancée de Microsoft Defender pour point de terminaison vers Microsoft 365 Defender en suivant les étapes de la procédure de migration des requêtes de recherche avancée à partir de Microsoft Defender pour le point de terminaison.You can move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender by following the steps in Migrate advanced hunting queries from Microsoft Defender for Endpoint.