Rozszerzanie zaawansowanego zakresu wyszukiwania o odpowiednie ustawienia
Uwaga
Chcesz doświadczyć Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.
Dotyczy:
- Microsoft 365 Defender
- Ochrona punktu końcowego w usłudze Microsoft Defender
Zaawansowane wyszukiwania są wykorzystywane na podstawie danych pochodzących z różnych źródeł, takich jak urządzenia, Office 365 obszarów roboczych, usługi Azure AD i programu Microsoft Defender dla tożsamości. Aby uzyskać jak naj obszerne dane, upewnij się, że w odpowiadających im źródłach danych są odpowiednie ustawienia.
Zaawansowana inspekcja zabezpieczeń na Windows urządzeniach
Włącz te zaawansowane ustawienia inspekcji, aby mieć pewność, że będziesz mieć dostęp do danych o działaniach na Twoich urządzeniach, takich jak zarządzanie kontem lokalnym, zarządzanie lokalną grupą zabezpieczeń i tworzenie usług.
| Data (Dane) | Opis | Tabela schematu | Jak skonfigurować |
|---|---|---|---|
| Zarządzanie kontem | Zdarzenia przechwytywane jako różne wartości ActionType wskazujące lokalne tworzenie, usuwanie i inne działania związane z kontem |
DeviceEvents | — Wdrażanie zaawansowanych zasad inspekcji zabezpieczeń: Inspekcja zarządzania kontami użytkowników - Informacje o zaawansowanych zasadach inspekcji zabezpieczeń |
| Zarządzanie grupą zabezpieczeń | Zdarzenia przechwytywane jako różne wartości ActionType wskazujące na tworzenie lokalnej grupy zabezpieczeń i inne działania związane z zarządzaniem grupą lokalną |
DeviceEvents | — Wdrażanie zaawansowanych zasad inspekcji zabezpieczeń: Zarządzanie grupą zabezpieczeń inspekcji - Informacje o zaawansowanych zasadach inspekcji zabezpieczeń |
| Instalacja usługi | Zdarzenia zarejestrowane za pomocą wartości ActionType ServiceInstalled, wskazującej, że usługa została utworzona |
DeviceEvents | - Wdrażanie zaawansowanych zasad inspekcji zabezpieczeń: Rozszerzenie systemu zabezpieczeń inspekcji - Informacje o zaawansowanych zasadach inspekcji zabezpieczeń |
Czujnik usługi Microsoft Defender for Identity na kontrolerze domeny
Jeśli używasz usługi Active Directory w środowisku lokalnym, musisz zainstalować czujnik usługi Microsoft Defender for Identity na kontrolerze domeny, aby pobrać dane do usługi Microsoft Defender for Identity. Po zainstalowaniu i prawidłowym skonfigurowaniu te dane są również wykorzystywane do zaawansowanego wyszukiwania w programie Microsoft Defender dla tożsamości i zapewniają bardziej obraz obrazowy informacji o tożsamości i zdarzeń w Twojej sieci. Te dane zwiększają także możliwości programu Microsoft Defender dla tożsamości w celu generowania odpowiednich alertów, które są również objęte zaawansowanymi wyszukiwaniami.
| Data (Dane) | Opis | Tabela schematu | Jak skonfigurować |
|---|---|---|---|
| Kontroler domeny | Dane z lokalnej usługi Active Directory wysyłane do usługi Microsoft Defender for Identity, wzbogacając informacje związane z tożsamością, takie jak szczegóły konta, aktywność logowania i zapytania usługi Active Directory | Wiele tabel, w tym IdentityInfo, IdentityLogonEvents i IdentityQueryEvents | - Zainstaluj czujnik usługi Microsoft Defender for Identity - Włączanie odpowiednich zdarzeń Windows zdarzenia |
Uwaga
Niektóre tabele w tym artykule mogą nie być dostępne w programie Microsoft Defender for Endpoint. Włącz Microsoft 365 Defender, aby poszukać zagrożeń przy użyciu większej liczby źródeł danych. Możesz przenieść zaawansowane przepływy pracy wyszukiwania z programu Microsoft Defender for Endpoint do programu Microsoft 365 Defender, korzystając z procedury migrowania zaawansowanych zapytań myśliwnych z programu Microsoft Defender dla punktu końcowego.