Utöka den avancerade söktäckningen med rätt inställningar

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender
  • Microsoft Defender för Endpoint

Avancerad sökning använder data från olika källor, till exempel dina enheter, Office 365 arbetsytor, Azure AD och Microsoft Defender för identitet. För att få så omfattande data som möjligt bör du kontrollera att du har rätt inställningar i motsvarande datakällor.

Avancerad säkerhetsgranskning på Windows enheter

Aktivera de här avancerade granskningsinställningarna för att säkerställa att du får data om aktiviteter på dina enheter, inklusive lokal kontohantering, hantering av lokala säkerhetsgrupper och skapande av tjänster.

Data Beskrivning Schematabell Så här konfigurerar du
Kontohantering Händelser som skapats med olika ActionType värden som anger när ett lokalt konto skapas, tas bort och andra kontorelaterade aktiviteter DeviceEvents – Distribuera en princip för avancerad säkerhetsgranskning: Hantera användarkonton
- Läs mer om avancerade principer för säkerhetsgranskning
Hantering av säkerhetsgrupper Händelser som fångas som olika ActionType värden som anger att lokala säkerhetsgrupper skapas och andra aktiviteter för lokal grupphantering DeviceEvents - Distribuera en princip för avancerad säkerhetsgranskning: Granskning av grupphantering för säkerhetsgrupper
- Läs mer om avancerade principer för säkerhetsgranskning
Tjänstinstallation Händelser som fångats ActionType med värdet , som anger att en tjänst har ServiceInstalled skapats DeviceEvents - Distribuera en princip för avancerad säkerhetsgranskning: Granskningssäkerhetssystemtillägg
- Läs mer om avancerade principer för säkerhetsgranskning

Microsoft Defender för identitets sensor på domänkontrollanten

Om du kör Active Directory lokalt måste du installera Microsoft Defender för identitets sensor på domänkontrollanten för att hämta data för Microsoft Defender för identitet. När dessa data är installerade och korrekt konfigurerade hittar du också avancerad sökning via Microsoft Defender för identitet och ger en mer detaljerad bild av identitetsinformation och händelser i nätverket. Dessa data förbättrar också möjligheten för Microsoft Defender för identitet att generera relevanta aviseringar som även omfattas av avancerad sökning.

Data Beskrivning Schematabell Så här konfigurerar du
Domänkontrollant Data från lokalt Active Directory som skickas till Microsoft Defender för identitet, och identifiering av identitetsrelaterad information, till exempel kontoinformation, inloggningsaktivitet och Active Directory-frågor Flera tabeller, inklusive IdentityInfo, IdentityLogonEventsoch IdentityQueryEvents - Installera Microsoft Defender för identitets sensor
- Aktivera relevanta Windows händelser

Anteckning

Vissa tabeller i den här artikeln kanske inte är tillgängliga i Microsoft Defender för Endpoint. Aktivera Microsoft 365 Defender för att leta efter hot med hjälp av fler datakällor. Du kan flytta dina avancerade arbetsflöden för sökning från Microsoft Defender för Slutpunkt till Microsoft 365 Defender genom att följa stegen i Migrera avancerade sökfrågor från Microsoft Defender för Slutpunkt.