Geavanceerde dekking voor jagen uitbreiden met de juiste instellingenExtend advanced hunting coverage with the right settings

Belangrijk

Het verbeterde Microsoft 365-beveiligingscentrum is nu beschikbaar.The improved Microsoft 365 security center is now available. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365-beveiligingscentrum.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ontdek wat er nieuw is.Learn what's new.

Van toepassing op:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender voor EindpuntMicrosoft Defender for Endpoint

Geavanceerd zoeken is afhankelijk van gegevens uit verschillende bronnen, waaronder uw apparaten, Office 365 werkruimten, Azure AD en Microsoft Defender voor identiteit.Advanced hunting relies on data coming from various sources, including your devices, your Office 365 workspaces, Azure AD, and Microsoft Defender for Identity. Als u de meest uitgebreide gegevens wilt krijgen, moet u ervoor zorgen dat u de juiste instellingen hebt in de bijbehorende gegevensbronnen.To get the most comprehensive data possible, ensure that you have the correct settings in the corresponding data sources.

Geavanceerde beveiligingsaudits op Windows apparatenAdvanced security auditing on Windows devices

Schakel deze geavanceerde controle-instellingen in om ervoor te zorgen dat u gegevens krijgt over activiteiten op uw apparaten, zoals lokaal accountbeheer, lokaal beveiligingsgroepbeheer en het maken van service.Turn on these advanced auditing settings to ensure you get data about activities on your devices, including local account management, local security group management, and service creation.

DataData BeschrijvingDescription SchematabelSchema table ConfigurerenHow to configure
AccountbeheerAccount management Gebeurtenissen die zijn vastgelegd als verschillende waarden die het maken, verwijderen en ActionType andere accountgerelateerde activiteiten aangevenEvents captured as various ActionType values indicating local account creation, deletion, and other account-related activities DeviceEventsDeviceEvents - Een geavanceerd beveiligingsauditbeleid implementeren: Gebruikersaccountbeheer controleren- Deploy an advanced security audit policy: Audit User Account Management
- Meer informatie over geavanceerd beveiligingsauditbeleid- Learn about advanced security audit policies
BeveiligingsgroepsbeheerSecurity group management Gebeurtenissen die zijn vastgelegd als verschillende waarden die het maken van ActionType lokale beveiligingsgroepen en andere lokale activiteiten voor groepsbeheer aangevenEvents captured as various ActionType values indicating local security group creation and other local group management activities DeviceEventsDeviceEvents - Een geavanceerd beveiligingsauditbeleid implementeren: Beveiligingsgroepsbeheer controleren- Deploy an advanced security audit policy: Audit Security Group Management
- Meer informatie over geavanceerd beveiligingsauditbeleid- Learn about advanced security audit policies
Service-installatieService installation Gebeurtenissen die zijn vastgelegd met de waarde, waarmee wordt ActionType aangegeven dat er een service is ServiceInstalled gemaaktEvents captured with the ActionType value ServiceInstalled, indicating that a service has been created DeviceEventsDeviceEvents - Een geavanceerd beveiligingsauditbeleid implementeren: Systeemextensie voor auditbeveiliging- Deploy an advanced security audit policy: Audit Security System Extension
- Meer informatie over geavanceerd beveiligingsauditbeleid- Learn about advanced security audit policies

Microsoft Defender voor identiteits sensor op de domeincontrollerMicrosoft Defender for Identity sensor on the domain controller

Als u Active Directory on-premises gebruikt, moet u de Microsoft Defender for Identity-sensor installeren op de domeincontroller om gegevens voor Microsoft Defender voor identiteit op te halen.If you're running Active Directory on premises, you need to install the Microsoft Defender for Identity sensor on the domain controller to get data for Microsoft Defender for Identity. Wanneer deze gegevens zijn geïnstalleerd en correct zijn geconfigureerd, worden deze gegevens ook gebruikt voor geavanceerde jacht via Microsoft Defender voor identiteit en krijgt u een meer holistisch beeld van identiteitsgegevens en gebeurtenissen in uw netwerk.When installed and properly configured, this data also feeds into advanced hunting through Microsoft Defender for Identity and provides a more holistic picture of identity information and events in your network. Deze gegevens verbeteren ook de mogelijkheid van Microsoft Defender voor identiteit om relevante waarschuwingen te genereren die ook worden gedekt door geavanceerde jacht.This data also enhances the ability of Microsoft Defender for Identity to generate relevant alerts that are also covered by advanced hunting.

DataData BeschrijvingDescription SchematabelSchema table ConfigurerenHow to configure
DomeincontrollerDomain controller Gegevens van on-premises Active Directory die zijn verzonden naar Microsoft Defender voor identiteit, wat identiteitsgerelateerde informatie verrijkt, zoals accountgegevens, aanmeldingsactiviteit en Active Directory-query'sData from on-premises Active Directory sent to Microsoft Defender for Identity, enriching identity-related information, such as account details, logon activity, and Active Directory queries Meerdere tabellen, waaronder IdentityInfo, IdentityLogonEventsen IdentityQueryEventsMultiple tables, including IdentityInfo, IdentityLogonEvents, and IdentityQueryEvents - De Microsoft Defender for Identity-sensor installeren- Install the Microsoft Defender for Identity sensor
- Relevante Windows gebeurtenissen in- Turn on relevant Windows Events

Notitie

Sommige tabellen in dit artikel zijn mogelijk niet beschikbaar in Microsoft Defender voor Eindpunt.Some tables in this article might not be available in Microsoft Defender for Endpoint. Schakel de Microsoft 365 Defender in om te zoeken naar bedreigingen met behulp van meer gegevensbronnen.Turn on Microsoft 365 Defender to hunt for threats using more data sources. U kunt uw geavanceerde zoekwerkstromen verplaatsen van Microsoft Defender voor Eindpunt naar Microsoft 365 Defender door de stappen in Geavanceerde zoekquery's migreren uit Microsoft Defender voor Eindpunt te volgen.You can move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender by following the steps in Migrate advanced hunting queries from Microsoft Defender for Endpoint.