Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tärkeää
Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.
Mukautetun tiedonkeruun (esikatselu) avulla organisaatiot voivat laajentaa telemetriatietojen keräämisen oletusmääritysten lisäksi tukemaan erityisiä uhkien metsästystä ja suojauksen valvontatarpeita. Tämän ominaisuuden avulla suojaustiimit voivat määrittää tietyt keräyssäännöt tapahtumaominaisuuksille, kuten kansiopoluille, prosessinimille ja verkkoyhteyksille, mukautetuilla suodattimilla.
Miksi mukautettua tiedonkeruuta käytetään?
Microsoft Defender for Endpoint kerää oletusarvoisesti laajoja telemetriatietoja, mutta jotkin suojausskenaariot edellyttävät erityisiä lisätietoja. Käytä mukautettua tiedonkeruuta, kun tarvitset kohdennettua näkyvyyttä uhkien metsästykseen, sovellusten valvontaan, vaatimustenmukaisuusnäyttöön tai tapausten käsittelyyn ilman kaikkien tapahtumien keräämisen kustannuksia ja melua.
Milloin mukautettua tiedonkeruuta kannattaa käyttää?
| Skenaario | Käytä, kun | Esimerkki | Suojausarvo |
|---|---|---|---|
| Uhkien metsästys | Sinun on etsittävä tiettyjä hyökkäysmalleja ympäristöstäsi | Kerää kaikki PowerShell-komentosarjojen mittarit järjestelmänvalvojan työasemista, jotta voit tunnistaa haitallisia komentosarjoja. | Tunnista tiedostottomia haittaohjelmia, haitallisia komentosarjoja tai luvatonta automaatiota etuoikeutetuissa järjestelmissä |
| Sovellusten valvonta | Sinun on seurattava mukautettujen sovellusten suojaukseen liittyviä tapahtumia | Valvo omistusoikeudellisen rahoitussovelluksen tiedostojen käyttömalleja | Yrityssovellusten luvattoman käytön, tietojen suodatusyritysten tai yhteensopivuusrikkomusten tunnistaminen |
| Vaatimustenmukaisuusnäyttö | Sinun on tallennettava yksityiskohtaiset valvontalokit, joita säännökset vaativat | Kerää kaikki tiedostomuokkaukset kansioissa, joissa on Arkaluonteiset tiedot | Täytä lakisääteiset vaatimukset (PCI-DSS, HIPAA, GDPR) yksityiskohtaisilla rikosteknisillä jäljityspoluilla |
| Tapausten käsittely | Sinun on kerättävä rikosteknisiä tietoja aktiivisten tutkimusten aikana | Kerää tilapäisesti kaikki verkkoyhteydet mahdollisesti vaarantuneista palvelimista | Ota yksityiskohtaista näyttöä tutkimusta varten, tunnista sivuttaiset siirrot ja tue korjaustoimia |
| Sivusuuntaisen liikkeen tunnistaminen | Sinun on tarkkailtava erityisiä sivuttaisen liikkeen indikaattoreita | Etäyhteyksien ja todentamistapahtumien seuraaminen toimialueen ohjauskoneissa | Tunnista hyökkääjien siirtyminen järjestelmistä toiseen varastettujen tunnistetietojen tai etäkäyttötyökalujen avulla |
Mukautetun tiedonkeruun edut
| Hyötyä | Kuvaus |
|---|---|
| Kohdistettu näkyvyys | Kerää vain tarvitsemasi tapahtumat, vähennä melua ja hallitse tietojen käsittelykustannuksia Microsoft Sentinel |
| Joustava metsästys | Luo mukautettuja kyselyjä erikoistelemetriasta Microsoft Sentinel syvää uhkien metsästystä ja tutkintaa varten |
| Todistusaineiston kerääminen | Yksityiskohtaisten rikosteknisten tietojen kirjaaminen tutkimuksia, vaatimustenmukaisuuden tarkastuksia ja tapausten käsittelyä varten |
| Skaalattava valvonta | Kohdekokoelma tietyille laiteryhmille dynaamisten tunnisteiden avulla, mikä varmistaa, että kokoelma pysyy ajan tasalla ympäristön muuttuessa |
| Kustannusten hallinta | Vältä tarpeettomien tietojen keräämistä käyttämällä tiettyjä suodattimia ja laitekohdistusta |
Tärkeää
Mukautettujen tietojen kerääminen edellyttää, että laitteeseen on kohdistettu dynaamisia tunnisteita. Sinun on määritettävä dynaamiset tunnisteet resurssien sääntöjen hallinnassa, ennen kuin luot mukautettuja kokoelmasääntöjä. Katso Laitetunnisteiden ja kohdelaitteiden luominen ja hallinta.
Mukautettujen tietojen keräämisen toiminta
Mukautettujen tietojen keräämisessä käytetään sääntöpohjaista suodatusta tiettyjen tapahtumien sieppaamiseksi päätepistelaitteista ja niiden ohjaamiseksi Microsoft Sentinel työtilaan analysointia ja uhkien metsästystä varten.
Keräysprosessi
- Määritä säännöt: Luo Microsoft Defender portaalissa kokoelmasäännöt tietyillä tapahtumasuodattimilla
- Kohdelaitteet: Dynaamisten tunnisteiden avulla voit määrittää, mitkä laitteet keräävät tiedot
- Käyttöönottosäännöt: Säännöt siirretään kohdistettuihin päätepisteisiin (yleensä 20 minuutista yhteen tuntiin)
- Kerää tapahtumia: Päätepisteet keräävät tapahtumia, jotka vastaavat sääntöehtojasi, sekä oletustelemetriatietoja
- Tietojen analysointi: mukautettujen tapahtumatietojen kyseleminen Microsoft Sentinel työtilassa
Huomautus
Mukautetut tiedonkeruusäännöt toimivat yhdessä Defender for Endpoint -oletusmääritysten kanssa. Mukautettu kokoelma ei korvaa tai muokkaa vakiotelemetriatietoja – se lisää siihen.
Tuetut tapahtumataulukot
Mukautettu tiedonkeruu tukee seuraavia tapahtumataulukoita. Jokaiseen taulukkoon kerätään erilaisia suojaukseen liittyviä toimintoja:
| Taulukon nimi | Tapahtumatyypit | Käytä käytölle |
|---|---|---|
| DeviceCustomProcessEvents | Prosessin luominen, päättäminen ja muut prosessitoiminnot | Suoritettavien käynnistysten valvonta, prosessipuiden seuranta, haitallisten prosessien tunnistaminen |
| DeviceCustomImageLoadEvents | DLL- ja kuvalataustapahtumat | Tunnistetaan haitallisten kirjastojen lisääminen, seurataan epäilyttäviä moduulikuormituksia |
| DeviceCustomFileEvents | Tiedoston luominen, muokkaaminen, poistaminen ja käyttö | Arkaluonteiset tiedot käytön valvonta, kiristysohjelman ilmaisimien seuranta, vaatimustenmukaisuuden valvonta |
| DeviceCustomNetworkEvents | Verkkoyhteystapahtumat, joissa on IP-protokollat, portit ja protokollat | Sivuttaisen liikkeen havaitseminen, C2-viestinnän valvonta, luvattomien yhteyksien seuranta |
| DeviceCustomScriptEvents | Komentosarjan suorittaminen (PowerShell, JavaScript jne.) | Tiedostottoman haittaohjelman tunnistaminen, järjestelmänvalvojan komentosarjojen valvonta, komentosarjapohjaisten hyökkäysten tunnistaminen |
Lisätietoja rakenteesta on kohdassa Kehittyneen metsästyksen rakennetaulukot.
Edellytykset ja vaatimukset
Ennen kuin käytät mukautettua tiedonkeruuta, varmista, että täytät seuraavat vaatimukset:
| Vaatimusluokka | Tiedot |
|---|---|
| Käyttöoikeudet | • Microsoft Defender for Endpoint palvelupaketin 2 käyttöoikeus |
| Microsoft Sentinel työtila | • Yhdistetty Microsoft Sentinel työtila mukautettua tietojen tallennusta ja kyselyä varten • Työtila on valittava luotaessa mukautettuja tiedonkeruusääntöjä • Tällä hetkellä vain yksi Sentinel työtila vuokraajaa kohden mukautettua tietojen keräämistä varten |
| Laitekohdistaminen | • Resurssisäännön hallinnassa määritetyt dynaamiset tunnisteet • Dynaamiset tunnisteet on suoritettava vähintään kerran, ennen kuin niitä käytetään mukautetuissa kokoelmasäännöissä • Manuaalisia (staattisia) tunnisteita ei tueta mukautetussa tietojen keräämisessä |
| Käyttöjärjestelmät | • Windows 10 ja 11 (asiakkaan vähimmäisversio 10.8805) - Windows 10 edellyttää rekisteröitymistä Extended Security Päivitykset (ESU) -ohjelmaan • Windows Server 2019 ja uudemmat versiot |
| Huomioitavat kustannukset | • Mukautettu tiedonkeruu sisältyy Microsoft Defender for Endpoint P2 -käyttöoikeuksiin • tietojen käsittely Microsoft Sentinel aiheuttaa maksuja Sentinel laskutusjärjestelyn perusteella • kohdekokoelma huolellisesti tietyille laiteryhmille tietojen määrän ja kustannusten hallitsemiseksi |
| Suorituskykyrajoitukset | • Jokaisessa säännössä voi siepata enintään 25 000 tapahtumaa laitetta kohden 24 tunnin vieritysikkunaa kohden • Kun laite saavuttaa raja-arvon, telemetriatiedot kyseiselle säännölle pysähtyvät, kunnes ikkuna palautuu • Useat säännöt voivat olla aktiivisia samanaikaisesti, kukin niistä oman rajansa mukaan • Säännön käyttöönotto kestää yleensä 20 minuutista tuntiin |
Katso edellytykset ja asennusohjeet kohdasta Mukautettujen tietojenkeruusääntöjen luominen .
Usein kysytyt kysymykset
| Kysymys | Vastaus |
|---|---|
| Vaikuttaako mukautettu tietojen kerääminen Oletusarvon mukaiseen Defender for Endpoint -määrityksiin? | Ei, mukautetut tiedonkeruusäännöt toimivat Defender for Endpointin oletusmäärityksen rinnalla ilman häiriöitä. Mukautettu kokoelma ei korvaa tai muokkaa vakiotelemetriatietoja – se lisää siihen. |
| Onko Microsoft Sentinel työtila pakollinen? | Kyllä, tarvitset yhdistetyn Microsoft Sentinel työtilan mukautettujen tiedonkeräyssääntöjen luomiseksi ja käyttämiseksi. Työtila on valittava myös sääntöjä luotaessa. |
| Miksi dynaamisia tunnisteita tarvitaan? | Dynaamiset tunnisteet varmistavat, että laitekohdistaminen pysyy ajan tasalla ympäristösi muuttuessa. Manuaaliset tunnisteet eivät päivity automaattisesti, mikä voi johtaa vanhentuneeseen kokoelman kohdentamiseen. Dynaamisia tunnisteita tarvitaan myös resurssien sääntöjen hallinnan integroinnissa. |
| Mistä tiedän, onko sääntö aktiivinen laitteessa? | Tee kysely asianmukaisesta mukautetusta tapahtumataulukosta laitteelle, jotta näet kerätyt tapahtumat. Esimerkki:search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| Mitä tapahtuu, kun laite saavuttaa 25 000 tapahtuman rajan? | Kyseisen säännön telemetriatietojen kerääminen pysähtyy, kunnes 24 tunnin vieritysikkuna palautuu. Muut laitteen säännöt keräävät edelleen tapahtumia. Tarkenna säännön ehtoja, jotta niistä tulee tarkempia ja tapahtuman määrän pienentäminen. |
| Voinko käyttää manuaalisia tunnisteita mukautettuun tiedonkeruuseen? | Ei, vain dynaamisia tunnisteita tuetaan. Dynaamiset tunnisteet päivittyvät automaattisesti laitteen ominaisuuksien muuttuessa, mikä varmistaa, että kokoelman kohdentaminen pysyy oikeana. |
| Kuinka kauan säännön käyttöönotto laitteissa kestää? | Säännön käyttöönotto kestää yleensä 20 minuutista tuntiin. Tarkista käyttöönotto kyselemällä mukautettuja tapahtumataulukoita kohteena olevien laitteiden tiedoista. |
Seuraavat vaiheet
- Mukautettujen tiedonkeräyssääntöjen luominen: vaiheittaiset ohjeet sääntöjen luomiseen ja hallintaan
- Laitetunnisteiden ja kohdelaitteiden luominen ja hallinta: Dynaamisten tunnisteiden määrittäminen laitekohdistuksille