Utöka den avancerade söktäckningen med rätt inställningarExtend advanced hunting coverage with the right settings

Viktigt

Det förbättrade Microsoft 365 Säkerhetscenter är nu tillgänglig.The improved Microsoft 365 security center is now available. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office, 365 Microsoft 365 Defender och annat till Microsoft 365 säkerhetscenter.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Läs om de senaste.Learn what's new.

Gäller för:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender för EndpointMicrosoft Defender for Endpoint

Avancerad sökning använder data från olika källor, till exempel dina enheter, Office 365-arbetsytor, Azure AD och Microsoft Defender för identitet.Advanced hunting relies on data coming from various sources, including your devices, your Office 365 workspaces, Azure AD, and Microsoft Defender for Identity. För att få så omfattande data som möjligt bör du kontrollera att du har rätt inställningar i motsvarande datakällor.To get the most comprehensive data possible, ensure that you have the correct settings in the corresponding data sources.

Avancerad säkerhetsgranskning på Windows-enheterAdvanced security auditing on Windows devices

Aktivera de här avancerade granskningsinställningarna för att säkerställa att du får data om aktiviteter på dina enheter, inklusive lokal kontohantering, hantering av lokala säkerhetsgrupper och skapande av tjänster.Turn on these advanced auditing settings to ensure you get data about activities on your devices, including local account management, local security group management, and service creation.

DataData BeskrivningDescription SchematabellSchema table Så här konfigurerar duHow to configure
KontohanteringAccount management Händelser som skapats med olika ActionType värden som anger när ett lokalt konto skapas, tas bort och andra kontorelaterade aktiviteterEvents captured as various ActionType values indicating local account creation, deletion, and other account-related activities DeviceEventsDeviceEvents – Distribuera en princip för avancerad säkerhetsgranskning: Hantera användarkonton- Deploy an advanced security audit policy: Audit User Account Management
- Läs mer om avancerade principer för säkerhetsgranskning- Learn about advanced security audit policies
Hantering av säkerhetsgrupperSecurity group management Händelser som fångas som olika ActionType värden som anger att lokala säkerhetsgrupper skapas och andra aktiviteter för lokal grupphanteringEvents captured as various ActionType values indicating local security group creation and other local group management activities DeviceEventsDeviceEvents - Distribuera en princip för avancerad säkerhetsgranskning: Granskning av grupphantering för säkerhetsgrupper- Deploy an advanced security audit policy: Audit Security Group Management
- Läs mer om avancerade principer för säkerhetsgranskning- Learn about advanced security audit policies
TjänstinstallationService installation Händelser som fångats ActionType med värdet , som anger att en tjänst har ServiceInstalled skapatsEvents captured with the ActionType value ServiceInstalled, indicating that a service has been created DeviceEventsDeviceEvents - Distribuera en princip för avancerad säkerhetsgranskning: Granskningssäkerhetssystemtillägg- Deploy an advanced security audit policy: Audit Security System Extension
- Läs mer om avancerade principer för säkerhetsgranskning- Learn about advanced security audit policies

Microsoft Defender för identitets sensor på domänkontrollantenMicrosoft Defender for Identity sensor on the domain controller

Om du kör Active Directory lokalt måste du installera Microsoft Defender för identitets sensor på domänkontrollanten för att hämta data för Microsoft Defender för identitet.If you're running Active Directory on premises, you need to install the Microsoft Defender for Identity sensor on the domain controller to get data for Microsoft Defender for Identity. När dessa data är installerade och korrekt konfigurerade hittar du också avancerad sökning via Microsoft Defender för identitet och ger en mer detaljerad bild av identitetsinformation och händelser i nätverket.When installed and properly configured, this data also feeds into advanced hunting through Microsoft Defender for Identity and provides a more holistic picture of identity information and events in your network. Dessa data förbättrar också möjligheten för Microsoft Defender för identitet att generera relevanta aviseringar som även omfattas av avancerad sökning.This data also enhances the ability of Microsoft Defender for Identity to generate relevant alerts that are also covered by advanced hunting.

DataData BeskrivningDescription SchematabellSchema table Så här konfigurerar duHow to configure
DomänkontrollantDomain controller Data från lokalt Active Directory som skickas till Microsoft Defender för identitet, och identifiering av identitetsrelaterad information, till exempel kontoinformation, inloggningsaktivitet och Active Directory-frågorData from on-premises Active Directory sent to Microsoft Defender for Identity, enriching identity-related information, such as account details, logon activity, and Active Directory queries Flera tabeller, inklusive IdentityInfo, IdentityLogonEventsoch IdentityQueryEventsMultiple tables, including IdentityInfo, IdentityLogonEvents, and IdentityQueryEvents - Installera Microsoft Defender för identitets sensor- Install the Microsoft Defender for Identity sensor
- Aktivera relevanta Windows-händelser- Turn on relevant Windows Events

Anteckning

Vissa tabeller i den här artikeln kanske inte är tillgängliga i Microsoft Defender för Endpoint.Some tables in this article might not be available in Microsoft Defender for Endpoint. Aktivera Microsoft 365 Defender för att leta efter hot med hjälp av fler datakällor.Turn on Microsoft 365 Defender to hunt for threats using more data sources. Du kan flytta dina avancerade arbetsflöden för sökning från Microsoft Defender för Slutpunkt till Microsoft 365 Defender genom att följa stegen i Migrera avancerade sökfrågor från Microsoft Defender för Slutpunkt.You can move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender by following the steps in Migrate advanced hunting queries from Microsoft Defender for Endpoint.