Utöka den avancerade söktäckningen med rätt inställningar
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
- Microsoft Defender för Endpoint
Avancerad sökning använder data från olika källor, till exempel dina enheter, Office 365 arbetsytor, Azure AD och Microsoft Defender för identitet. För att få så omfattande data som möjligt bör du kontrollera att du har rätt inställningar i motsvarande datakällor.
Avancerad säkerhetsgranskning på Windows enheter
Aktivera de här avancerade granskningsinställningarna för att säkerställa att du får data om aktiviteter på dina enheter, inklusive lokal kontohantering, hantering av lokala säkerhetsgrupper och skapande av tjänster.
| Data | Beskrivning | Schematabell | Så här konfigurerar du |
|---|---|---|---|
| Kontohantering | Händelser som skapats med olika ActionType värden som anger när ett lokalt konto skapas, tas bort och andra kontorelaterade aktiviteter |
DeviceEvents | – Distribuera en princip för avancerad säkerhetsgranskning: Hantera användarkonton - Läs mer om avancerade principer för säkerhetsgranskning |
| Hantering av säkerhetsgrupper | Händelser som fångas som olika ActionType värden som anger att lokala säkerhetsgrupper skapas och andra aktiviteter för lokal grupphantering |
DeviceEvents | - Distribuera en princip för avancerad säkerhetsgranskning: Granskning av grupphantering för säkerhetsgrupper - Läs mer om avancerade principer för säkerhetsgranskning |
| Tjänstinstallation | Händelser som fångats ActionType med värdet , som anger att en tjänst har ServiceInstalled skapats |
DeviceEvents | - Distribuera en princip för avancerad säkerhetsgranskning: Granskningssäkerhetssystemtillägg - Läs mer om avancerade principer för säkerhetsgranskning |
Microsoft Defender för identitets sensor på domänkontrollanten
Om du kör Active Directory lokalt måste du installera Microsoft Defender för identitets sensor på domänkontrollanten för att hämta data för Microsoft Defender för identitet. När dessa data är installerade och korrekt konfigurerade hittar du också avancerad sökning via Microsoft Defender för identitet och ger en mer detaljerad bild av identitetsinformation och händelser i nätverket. Dessa data förbättrar också möjligheten för Microsoft Defender för identitet att generera relevanta aviseringar som även omfattas av avancerad sökning.
| Data | Beskrivning | Schematabell | Så här konfigurerar du |
|---|---|---|---|
| Domänkontrollant | Data från lokalt Active Directory som skickas till Microsoft Defender för identitet, och identifiering av identitetsrelaterad information, till exempel kontoinformation, inloggningsaktivitet och Active Directory-frågor | Flera tabeller, inklusive IdentityInfo, IdentityLogonEventsoch IdentityQueryEvents | - Installera Microsoft Defender för identitets sensor - Aktivera relevanta Windows händelser |
Anteckning
Vissa tabeller i den här artikeln kanske inte är tillgängliga i Microsoft Defender för Endpoint. Aktivera Microsoft 365 Defender för att leta efter hot med hjälp av fler datakällor. Du kan flytta dina avancerade arbetsflöden för sökning från Microsoft Defender för Slutpunkt till Microsoft 365 Defender genom att följa stegen i Migrera avancerade sökfrågor från Microsoft Defender för Slutpunkt.