Rozszerzanie zaawansowanego zakresu wyszukiwania o odpowiednie ustawienia

Uwaga

Chcesz doświadczyć Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy:

  • Microsoft 365 Defender
  • Ochrona punktu końcowego w usłudze Microsoft Defender

Zaawansowane wyszukiwania są wykorzystywane na podstawie danych pochodzących z różnych źródeł, takich jak urządzenia, Office 365 obszarów roboczych, usługi Azure AD i programu Microsoft Defender dla tożsamości. Aby uzyskać jak naj obszerne dane, upewnij się, że w odpowiadających im źródłach danych są odpowiednie ustawienia.

Zaawansowana inspekcja zabezpieczeń na Windows urządzeniach

Włącz te zaawansowane ustawienia inspekcji, aby mieć pewność, że będziesz mieć dostęp do danych o działaniach na Twoich urządzeniach, takich jak zarządzanie kontem lokalnym, zarządzanie lokalną grupą zabezpieczeń i tworzenie usług.

Data (Dane) Opis Tabela schematu Jak skonfigurować
Zarządzanie kontem Zdarzenia przechwytywane jako różne wartości ActionType wskazujące lokalne tworzenie, usuwanie i inne działania związane z kontem DeviceEvents — Wdrażanie zaawansowanych zasad inspekcji zabezpieczeń: Inspekcja zarządzania kontami użytkowników
- Informacje o zaawansowanych zasadach inspekcji zabezpieczeń
Zarządzanie grupą zabezpieczeń Zdarzenia przechwytywane jako różne wartości ActionType wskazujące na tworzenie lokalnej grupy zabezpieczeń i inne działania związane z zarządzaniem grupą lokalną DeviceEvents — Wdrażanie zaawansowanych zasad inspekcji zabezpieczeń: Zarządzanie grupą zabezpieczeń inspekcji
- Informacje o zaawansowanych zasadach inspekcji zabezpieczeń
Instalacja usługi Zdarzenia zarejestrowane za pomocą wartości ActionType ServiceInstalled, wskazującej, że usługa została utworzona DeviceEvents - Wdrażanie zaawansowanych zasad inspekcji zabezpieczeń: Rozszerzenie systemu zabezpieczeń inspekcji
- Informacje o zaawansowanych zasadach inspekcji zabezpieczeń

Czujnik usługi Microsoft Defender for Identity na kontrolerze domeny

Jeśli używasz usługi Active Directory w środowisku lokalnym, musisz zainstalować czujnik usługi Microsoft Defender for Identity na kontrolerze domeny, aby pobrać dane do usługi Microsoft Defender for Identity. Po zainstalowaniu i prawidłowym skonfigurowaniu te dane są również wykorzystywane do zaawansowanego wyszukiwania w programie Microsoft Defender dla tożsamości i zapewniają bardziej obraz obrazowy informacji o tożsamości i zdarzeń w Twojej sieci. Te dane zwiększają także możliwości programu Microsoft Defender dla tożsamości w celu generowania odpowiednich alertów, które są również objęte zaawansowanymi wyszukiwaniami.

Data (Dane) Opis Tabela schematu Jak skonfigurować
Kontroler domeny Dane z lokalnej usługi Active Directory wysyłane do usługi Microsoft Defender for Identity, wzbogacając informacje związane z tożsamością, takie jak szczegóły konta, aktywność logowania i zapytania usługi Active Directory Wiele tabel, w tym IdentityInfo, IdentityLogonEvents i IdentityQueryEvents - Zainstaluj czujnik usługi Microsoft Defender for Identity
- Włączanie odpowiednich zdarzeń Windows zdarzenia

Uwaga

Niektóre tabele w tym artykule mogą nie być dostępne w programie Microsoft Defender for Endpoint. Włącz Microsoft 365 Defender, aby poszukać zagrożeń przy użyciu większej liczby źródeł danych. Możesz przenieść zaawansowane przepływy pracy wyszukiwania z programu Microsoft Defender for Endpoint do programu Microsoft 365 Defender, korzystając z procedury migrowania zaawansowanych zapytań myśliwnych z programu Microsoft Defender dla punktu końcowego.