Расширение расширенного охвата охоты с помощью правильных параметровExtend advanced hunting coverage with the right settings

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область применения:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender для конечной точкиMicrosoft Defender for Endpoint

Расширенный поиск зависит от данных из различных источников, включая устройства, Office 365, Azure AD и Microsoft Defender for Identity.Advanced hunting relies on data coming from various sources, including your devices, your Office 365 workspaces, Azure AD, and Microsoft Defender for Identity. Чтобы получить наиболее исчерпывающие данные, убедитесь, что у вас есть правильные параметры в соответствующих источниках данных.To get the most comprehensive data possible, ensure that you have the correct settings in the corresponding data sources.

Расширенный аудит безопасности на Windows устройствахAdvanced security auditing on Windows devices

Включите эти расширенные параметры аудита, чтобы получить данные о действиях на устройствах, включая локальное управление учетной записью, локальное управление группой безопасности и создание службы.Turn on these advanced auditing settings to ensure you get data about activities on your devices, including local account management, local security group management, and service creation.

DataData ОписаниеDescription Таблица схемыSchema table Способ настройкиHow to configure
Управление учетными записямиAccount management События, запечатленные в качестве различных значений, указывающих на локальное создание учетной записи, удаление и другие действия, связанные ActionType с учетной записьюEvents captured as various ActionType values indicating local account creation, deletion, and other account-related activities DeviceEventsDeviceEvents - Развертывание усовершенствованой политики аудита безопасности: управление учетной записью пользователей аудита- Deploy an advanced security audit policy: Audit User Account Management
- Дополнительные политики аудита безопасности- Learn about advanced security audit policies
Управление группой безопасностиSecurity group management События, запечатленные в качестве различных значений, указывающих на создание локальной группы безопасности и другие локальные действия ActionType по управлению группойEvents captured as various ActionType values indicating local security group creation and other local group management activities DeviceEventsDeviceEvents - Развертывание усовершенствованой политики аудита безопасности: управление группой аудита безопасности- Deploy an advanced security audit policy: Audit Security Group Management
- Дополнительные политики аудита безопасности- Learn about advanced security audit policies
Установка службыService installation События, захваченные со ActionType значением, указывающие на то, что ServiceInstalled была создана службаEvents captured with the ActionType value ServiceInstalled, indicating that a service has been created DeviceEventsDeviceEvents - Развертывание усовершенствованой политики аудита безопасности: расширение системы безопасности аудита- Deploy an advanced security audit policy: Audit Security System Extension
- Дополнительные политики аудита безопасности- Learn about advanced security audit policies

Датчик Microsoft Defender для удостоверений на контроллере доменаMicrosoft Defender for Identity sensor on the domain controller

Если вы работаете в помещении Active Directory, необходимо установить датчик Microsoft Defender для удостоверений на контроллере домена, чтобы получить данные для Microsoft Defender для identity.If you're running Active Directory on premises, you need to install the Microsoft Defender for Identity sensor on the domain controller to get data for Microsoft Defender for Identity. При установке и правильной настройке эти данные также обеспечивают расширенный поиск через Microsoft Defender для удостоверений и предоставляют более целостную картину сведений о удостоверениях и событиях в сети.When installed and properly configured, this data also feeds into advanced hunting through Microsoft Defender for Identity and provides a more holistic picture of identity information and events in your network. Эти данные также улучшают возможности Microsoft Defender для удостоверений для создания соответствующих оповещений, которые также охватываются расширенной охотой.This data also enhances the ability of Microsoft Defender for Identity to generate relevant alerts that are also covered by advanced hunting.

DataData ОписаниеDescription Таблица схемыSchema table Способ настройкиHow to configure
Контроллер доменаDomain controller Данные из локального Active Directory, отправленные в Microsoft Defender для удостоверений, обогащая сведения, связанные с удостоверениями, такие как сведения об учетной записи, действия логотипа и запросы Active DirectoryData from on-premises Active Directory sent to Microsoft Defender for Identity, enriching identity-related information, such as account details, logon activity, and Active Directory queries Несколько таблиц, включая IdentityInfo, IdentityLogonEventsи IdentityQueryEventsMultiple tables, including IdentityInfo, IdentityLogonEvents, and IdentityQueryEvents - Установка сенсора Microsoft Defender для удостоверений- Install the Microsoft Defender for Identity sensor
- Включим соответствующие Windows события- Turn on relevant Windows Events

Примечание

Некоторые таблицы в этой статье могут быть недоступны в Microsoft Defender для конечной точки.Some tables in this article might not be available in Microsoft Defender for Endpoint. Включи Microsoft 365 Defender, чтобы искать угрозы с помощью дополнительных источников данных.Turn on Microsoft 365 Defender to hunt for threats using more data sources. Вы можете переместить расширенные процессы охоты из Microsoft Defender для endpoint в Microsoft 365 Defender, следуя шагам в миграции расширенных запросов охоты из Microsoft Defender для конечной точки.You can move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender by following the steps in Migrate advanced hunting queries from Microsoft Defender for Endpoint.