Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tärkeää
Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.
Tässä artikkelissa kerrotaan, miten voit luoda ja hallita mukautettuja tiedonkeruusääntöjä Microsoft Defender portaalissa.
Vihje
Ennen kuin luot mukautettuja kokoelmasääntöjä, tutustu mukautettuun tiedonkeruuseen , jotta ymmärrät, milloin ja miksi tätä ominaisuutta kannattaa käyttää.
Ennakkovaatimukset
Varmista, että sinulla on:
| Vaatimus | Tiedot |
|---|---|
| Lisenssi | Microsoft Defender for Endpoint Plan 2 |
| Microsoft Sentinel työtila | Yhdistetty Microsoft Sentinel työtila (pakollinen mukautettua tietojen tallennusta varten) |
| Dynaamiset tunnisteet | Määritetty resurssisäännön hallinnassa ja suoritetaan vähintään kerran |
| Tuetut käyttöjärjestelmät | • Windows 10 ja 11 (asiakkaan vähimmäisversio 10.8805; Windows 10 edellyttää ESU-rekisteröintiä) • Windows Server 2019 ja uudemmat versiot |
Tärkeää
Vaikka sinulla olisi yhdistetty Microsoft Sentinel työtila, sinun on valittava työtila, kun luot mukautettuja tiedonkeruusääntöjä.
Suorituskyky ja rajoitukset
- Jokainen sääntö voi siepata enintään 25 000 tapahtumaa laitetta kohden 24 tunnin vieritysikkunaa kohden
- Kun laite saavuttaa raja-arvon, kyseisen säännön telemetriatiedot pysähtyvät, kunnes ikkuna palautuu
- Säännön käyttöönotto kestää yleensä 20 minuutista tuntiin
- Mukautettu kokoelma toimii oletusmäärityksen rinnalla ilman häiriöitä
Tietoturvaan liittyvät seikat
Ota huomioon seuraavat vaikutukset tietoturvaan ennen sääntöjen luomista:
| Huomioon | Tiedot | Suositus |
|---|---|---|
| Säännön vaikutusalueen vaikutus | Liian laajat säännöt tuottavat suuria tietomääriä, mikä kasvattaa kustannuksia ja vaikeuttaa analysointia | Tasapainota spesifisyys kattavuuden kanssa iteroimalla ja tarkentamalla sääntöjä alkuperäisten tulosten perusteella |
| Liian kapeat säännöt | Tärkeistä suojaustapahtumista voi jäädä väliin | Testaa pilottiryhmillä ja seuraa kattavuuden puutteita |
| Suorituskykyyn liittyvät seikat | Jokaisella laitteella on 25 000 tapahtumaa per sääntö per päivärajoitus | Käytä useita keskittyneitä sääntöjä yhden liian laajan säännön sijasta; kohdesäännöt huolellisesti laitteisiin, joissa valvonta on välttämätöntä |
| Testausstrategia | Sääntöjen käyttöönotto ilman testausta voi johtaa odottamattomiin kustannuksiin tai vastaamattomaan tapahtumaan | 1. Aloita pienellä pilottiryhmällä (5-10 laitetta) 2. Valvo tietojen määrää ja tapahtuman laatua 24-48 tuntia 3. Tarkenna ehtoja tulosten perusteella 4. Laajenna vähitellen suurempiin laiteryhmiin 5. Tarkista kustannus- ja suorituskykymittarit säännöllisesti |
Tietokustannukset
- Mukautettu tiedonkeruu sisältyy Microsoft Defender for Endpoint P2:een
- Tietojen käsittely Microsoft Sentinel aiheuttaa maksuja Sentinel laskutuksen perusteella
- Kohdekokoelma tietyille laiteryhmille kustannusten hallitsemiseksi
Luo sääntöjä
Siirry Microsoft Defender portaalissa kohtaan Asetukset>Päätepisteet>Säännöt>Mukautettujen tietojen kerääminen.
Voit lisätä Microsoft Sentinel työtilan valitsemalla oikeasta yläkulmasta Microsoft Sentinel työtilan nimen.
Valitse Työtilan vaikutusalue -sivulla työtilasi.
Huomautus
Sinun on valittava työtila tässä vaiheessa, vaikka sinulla olisi jo yhdistetty Microsoft Sentinel työtila.
Valitse Luo sääntö. Kirjoita Yleiset tiedot - osioon säännön nimi ja kuvaus ja valitse Seuraava.
Luo sääntö -osassa:
- Valitse taulukko, josta haluat kerätä tietoja. Lisätietoja on kohdassa Tuetut tapahtumataulukot.
- Valitse toiminto, jota varten haluat kerätä tietoja.
- Lisää säännön ehdot, jos haluat suodattaa tietoja vielä enemmän. Voit lisätä useita ehtoja tietojen keräämisen hienosäätämiseksi. Säännön ehdot perustuvat valittuun taulukkoon. Lisätietoja on kohdassa Tuetut tapahtumataulukot vastaavan taulukon linkki.
Valitse Seuraava.
Valitse Määritä säännön vaikutusalue -osiossa, haluatko kerätä tietoja kaikista soveltuvista asiakaslaitteista vai tietyistä laitteista, jotka sisältävät dynaamisia tunnisteita. Lisätietoja on kohdassa Dynaamisten sääntöjen luominen laitteille resurssisääntöjen hallinnassa.
Huomautus
Mukautettu tiedonkeruu tukee vain dynaamisia tunnisteita.
Tarkista sääntöasetukset Tarkista ja viimeistele -osiossa ja valitse Lähetä.
Säännön käyttöönotto kohteena oleville laitteille voi kestää jopa tunnin.
Valvonta ja vianmääritys
Kun olet ottanut käyttöön mukautettuja tiedonkeruusääntöjä, valvo niiden suorituskykyä ja tee mahdollisten ongelmien vianmääritys.
Tarkista säännön käyttöönotto
Jos haluat tarkistaa, kerääkö sääntö tietoja tietystä laitteesta, tee kysely mukautetuista tapahtumataulukoista kehittyneessä metsästyksessä:
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents, DeviceCustomProcessEvents, DeviceCustomImageLoadEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize EventCount = count() by RuleName, RuleLastModificationTime, $table
| order by RuleLastModificationTime desc
Yleisiä ongelmia ja ratkaisuja
| Ongelma | Mahdollinen syy | Ratkaisu |
|---|---|---|
| Tapahtumia ei kerätty | Sääntöä ei ole vielä otettu käyttöön | Odota enintään 1 tunti käyttöönottoa varten. tarkista säännön tila portaalissa |
| Tapahtumia ei kerätty | Laitetta ei kohdistettu oikein | Varmista, että laitteessa käytetään dynaamista tunnistetta ja että tunnistesääntö on suoritettava resurssien sääntöjen hallinnassa |
| Tapahtumien kerääminen on lopetettu | 25 000 tapahtuman raja saavutettu | Tarkista sääntöehdot, jotta niistä tulee tarkempia. odota, kunnes 24 tunnin ikkuna nollautuu |
| Odottamattomat tietoja keräävät laitteet | Dynaaminen tunniste käytössä laajasti | Tarkista tunnistesäännöt resurssisäännön hallinnassa; tarkenna kohdistusehtoja |
| Sääntö ei näy laitteessa | Laite ei vastaa käyttöjärjestelmän vaatimuksia | Tarkista, että asiakasversio ja käyttöjärjestelmäversio täyttävät vähimmäisvaatimukset (Windows 10/11 versio 10.8805+, Windows Server 2019+) |
| Mukautettua kokoelmaa ei alusteta | EDR-poikkeukset voivat estää keräämisen | Tarkista EDR-poikkeukset kohdepoluilla tai -prosesseilla; laitteen uudelleenkäynnistys saattaa olla tarpeen, jos mukautettua kokoelmaa ei alusteta |
| Tunnisteita, joita ei päivitetä | Dynaamisia tunnisteita ei ole suoritettu viime aikoina | Dynaamiset tunnisteet päivittyvät noin tunnin välein – tarkista viimeisin suoritusaika resurssisääntöjen hallinnassa |
Valvo säännön suorituskykyä
- Tarkista tapahtuman määrä: Kysele mukautettuja tapahtumataulukoita nähdäksesi, kuinka monta tapahtumaa kukin sääntö kerää
- Tarkista kokoelman tila: Valvo, lähestyvätkö laitteet 25 000 tapahtumaa per sääntö päivässä -rajoitusta
- Vahvista kohdistaminen: Varmista, että säännöt otetaan käyttöön oikeissa laitteissa dynaamisten tunnisteiden perusteella
Kerää kaikki tapahtumat testausta varten
Kerätäksesi kaikki tapahtumat tietystä taulukosta (testausta tai kattavaa seurantaa varten):
- Luo sääntö, joka sisältää halutun taulukon
- Valitse kaikki käytettävissä olevat toiminnot
- Lisää aina tosi-ehto, kuten:
- Verkkotapahtumat:
RemotePort not equals 0 - Tiedostotapahtumille:
FileName not equals "" - Prosessitapahtumille:
ProcessCommandLine not equals ""
- Verkkotapahtumat:
- Kohde pienelle pilottiryhmälle ensin suuren tietomäärän vuoksi
Varoitus
Kaikkien tapahtumien kerääminen luo erittäin suuria tietomääriä ja voi saavuttaa nopeasti 25 000 tapahtuman laiterajan. Käytä kattavaa kokoelmaa vain testaukseen tai tiettyihin tutkimustarkoituksiin pienessä määrässä laitteita.
Hallitse sääntöjä
Muokkaa sääntöä
- Siirry kohtaan Asetukset>Päätepisteet>Säännöt>Mukautettu tietojen kerääminen
- Valitse sääntö, jota haluat muokata
- Valitse Muokkaa
- Muokkaa sääntöasetuksia tarvittaessa (nimi, kuvaus, taulukko, toiminnot, ehdot tai laitteen kohdistaminen)
- Valitse Lähetä
Muutokset tulevat voimaan kohdennetuissa laitteissa 20 minuutin ja 1 tunnin kuluessa.
Säännön ottaminen käyttöön tai poistaminen käytöstä
- Valitse mukautettujen tietojen keräämisessä sääntö
- Valitse Säännön kuvaus -kohdan Ota käyttöön -valintaruutu tai poista sen valinta
Kun poistat säännön käytöstä, tiedonkeruu pysäytetään kaikissa kohdennetuissa laitteissa seuraavan agentin sisäänkuittauksen aikana (yleensä minuuteissa - 1 tunti).
Poista sääntö
- Valitse mukautettujen tietojen keräämisessä sääntö
- Valitse Poista
- Vahvista poistaminen
Tärkeää
Säännön poistaminen on pysyvää, eikä sitä voi kumota. Microsoft Sentinel historialliset tiedot ovat edelleen käytettävissä, mutta uusi kokoelma pysähtyy välittömästi.
Seuraavat vaiheet
- Mukautettujen tietojen keräämisen yleiskatsaus: Tarkista ominaisuudet ja milloin mukautettua kokoelmaa kannattaa käyttää
- Laitetunnisteiden ja kohdelaitteiden luominen ja hallinta: Lue, miten tunnisteet mahdollistavat laitteen kohdistamisen mittakaavassa
- Kehittynyt metsästys: mukautettujen tapahtumataulukoiden kysely Microsoft Sentinel