Geavanceerde opsporingsdekking uitbreiden met de juiste instellingen
Van toepassing op:
- Microsoft Defender XDR
Geavanceerde opsporing is afhankelijk van gegevens die afkomstig zijn van verschillende bronnen, waaronder uw apparaten, uw Office 365 werkruimten, Microsoft Entra ID en Microsoft Defender for Identity. Als u de meest uitgebreide gegevens wilt verkrijgen, moet u ervoor zorgen dat u de juiste instellingen in de bijbehorende gegevensbronnen hebt.
Geavanceerde beveiligingscontrole op Windows-apparaten
Schakel deze geavanceerde controle-instellingen in om ervoor te zorgen dat u gegevens krijgt over activiteiten op uw apparaten, waaronder lokaal accountbeheer, beheer van lokale beveiligingsgroepen en het maken van services.
| Gegevens | Omschrijving | Schematabel | Configureren |
|---|---|---|---|
| Accountbeheer | Gebeurtenissen die zijn vastgelegd als verschillende ActionType waarden die wijzen op het maken, verwijderen en andere accountgerelateerde activiteiten |
DeviceEvents | - Een geavanceerd beveiligingscontrolebeleid implementeren: Gebruikersaccountbeheer controleren - Meer informatie over geavanceerd beveiligingscontrolebeleid |
| Beheer van beveiligingsgroepen | Gebeurtenissen die zijn vastgelegd als verschillende ActionType waarden die duiden op het maken van lokale beveiligingsgroepen en andere lokale groepsbeheeractiviteiten |
DeviceEvents | - Een geavanceerd beveiligingscontrolebeleid implementeren: Beveiligingsgroepbeheer controleren - Meer informatie over geavanceerd beveiligingscontrolebeleid |
| Service-installatie | Gebeurtenissen die zijn vastgelegd met de ActionType waarde ServiceInstalled, die aangeven dat er een service is gemaakt |
DeviceEvents | - Een geavanceerd beveiligingscontrolebeleid implementeren: Uitbreiding van het beveiligingssysteem controleren - Meer informatie over geavanceerd beveiligingscontrolebeleid |
Microsoft Defender for Identity sensor op de domeincontroller
Als u Active Directory on-premises uitvoert, moet u de Microsoft Defender for Identity sensor op de domeincontroller installeren om gegevens voor Microsoft Defender for Identity op te halen. Wanneer deze gegevens zijn geïnstalleerd en op de juiste manier zijn geconfigureerd, worden deze gegevens ook gebruikt voor geavanceerde opsporing via Microsoft Defender for Identity en bieden ze een meer holistisch beeld van identiteitsinformatie en gebeurtenissen in uw netwerk. Deze gegevens verbeteren ook de mogelijkheid van Microsoft Defender for Identity om relevante waarschuwingen te genereren die ook worden behandeld door geavanceerde opsporing.
| Gegevens | Omschrijving | Schematabel | Configureren |
|---|---|---|---|
| Domeincontroller | Gegevens van on-premises Active Directory verzonden naar Microsoft Defender for Identity, waardoor identiteitsgerelateerde informatie wordt verrijkt, zoals accountgegevens, aanmeldingsactiviteit en Active Directory-query's | Meerdere tabellen, waaronder IdentityInfo, IdentityLogonEvents en IdentityQueryEvents | - De Microsoft Defender for Identity sensor installeren - Relevante Windows-gebeurtenissen inschakelen |
Opmerking
Sommige tabellen in dit artikel zijn mogelijk niet beschikbaar in Microsoft Defender voor Eindpunt. Schakel Microsoft Defender XDR in om bedreigingen op te sporen met behulp van meer gegevensbronnen. U kunt uw geavanceerde opsporingswerkstromen van Microsoft Defender voor Eindpunt naar Microsoft Defender XDR verplaatsen door de stappen in Geavanceerde opsporingsquery's migreren van Microsoft Defender voor Eindpunt te volgen.
Verwante onderwerpen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor