Opprette og behandle egendefinerte datainnsamlingsregler i Microsoft Defender for endepunkt (forhåndsvisning)

  • Gjelder for: Microsoft Defender for Endpoint

Viktig

Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.

Denne artikkelen viser deg hvordan du oppretter og administrerer egendefinerte datainnsamlingsregler i Microsoft Defender-portalen.

Tips

Før du oppretter egendefinerte samlingsregler, bør du se gjennom egendefinert datainnsamling for å forstå når og hvorfor du bruker denne funksjonen.

Forutsetninger

Sørg for at du har:

Kravet Detaljer
Lisens Microsoft Defender for endepunkt plan 2
Microsoft Sentinel arbeidsområde Tilkoblet Microsoft Sentinel arbeidsområde (kreves for egendefinert datalagring)
Dynamiske koder Konfigurert i behandling av aktivaregel og kjører minst én gang
Operativsystemer som støttes • Windows 10 og 11 (minimum klientversjon 10.8805; Windows 10 krever ESU-registrering)
• Windows Server 2019 og nyere

Viktig

Selv om du har en tilkoblet Microsoft Sentinel arbeidsområde, må du velge arbeidsområdet når du oppretter egendefinerte datainnsamlingsregler.

Ytelse og grenser

  • Hver regel kan registrere opptil 25 000 hendelser per enhet per 24-timers rullende vindu
  • Når en enhet når terskelen, stopper telemetri for denne regelen til vinduet tilbakestilles
  • Regeldistribusjon tar vanligvis 20 minutter til 1 time
  • Egendefinert samling fungerer sammen med standardkonfigurasjon uten forstyrrelser

Sikkerhetshensyn

Vurder disse sikkerhetsimplikasjonene før du oppretter regler:

Vurdering Detaljer Anbefaling
Innvirkning på regelomfang Altfor brede regler genererer store datavolumer, øker kostnadene og gjør analysen vanskelig Balanser spesialitet med dekning ved å gjenta og finjustere regler basert på innledende resultater
For smale regler Kan gå glipp av viktige sikkerhetshendelser Test med pilotgrupper og overvåk for hull i dekning
Ytelsesvurderinger Hver enhet har en grense på 25 000 hendelser per regel per dag Bruk flere fokuserte regler i stedet for én altfor bred regel. målregler nøye til enheter der overvåking er viktig
Teststrategi Distribusjon av regler uten testing kan føre til uventede kostnader eller tapte hendelser 1. Start med en liten pilotgruppe (5–10 enheter)
2. Overvåke datavolum og hendelseskvalitet i 24–48 timer
3. Begrense betingelser basert på resultater
4. Gradvis utvidelse til større enhetsgrupper
5. Se gjennom kostnads- og ytelsesmåledata regelmessig

Datakostnader

  • Egendefinert datainnsamling er inkludert i Microsoft Defender for endepunkt P2
  • Datainntak i Microsoft Sentinel pådrar seg gebyrer basert på Sentinel fakturering
  • Målsamling til bestemte enhetsgrupper for å kontrollere kostnader

Opprett regler

  1. Gå tilInnstillinger-endepunktregler>>> foregendefinert datainnsamling i Microsoft Defender-portalen.

  2. Velg navnet på Microsoft Sentinel arbeidsområde øverst til høyre for å gå om bord i det Microsoft Sentinel arbeidsområdet.

    Skjermbilde av valg av et Microsoft Sentinel arbeidsområde.

  3. Velg arbeidsområdet ditt på omfangssiden for arbeidsområdet .

    Skjermbilde av valg av et Microsoft Sentinel arbeidsområdeomfang.

    Obs!

    Du må velge arbeidsområdet på dette stadiet, selv om du allerede har et tilkoblet Microsoft Sentinel arbeidsområde.

  4. Velg Opprett regel. Skriv inn et regelnavn og en beskrivelse under Generell informasjon , og velg Neste.

    Skjermbilde av oppretting av en regel: Generell informasjon-siden.

  5. I delen Opprett regel :

    1. Velg hvilken tabell du vil samle inn data fra. Hvis du vil ha mer informasjon, kan du se hendelsestabeller som støttes.
    2. Velg handlingen du vil samle inn data for.
    3. Legg til regelbetingelser for å filtrere dataene ytterligere. Du kan legge til flere betingelser for å begrense datainnsamlingen. Regelbetingelser er basert på den valgte tabellen. Hvis du vil ha mer informasjon, kan du se den respektive tabellkoblingen under Støttede hendelsestabeller.

    Skjermbilde av oppretting av en regel: Opprett regelside.

  6. Velg Neste.

  7. I delen Definer regelomfang velger du om du vil samle inn data fra alle gjeldende klientenheter eller fra bestemte enheter som inneholder dynamiske koder. Hvis du vil ha mer informasjon, kan du se Opprette dynamiske regler for enheter i administrasjon av aktivaregler.

    Skjermbilde av oppretting av en regel: Definer omfangsside.

    Obs!

    Egendefinert datainnsamling støtter bare dynamiske koder.

  8. Se gjennom regelinnstillingene i delen Se gjennom og fullfør , og velg Send.

    Skjermbilde av oppretting av en regel: Se gjennom og fullfør side.

Det kan ta opptil en time før regelen distribueres til de målrettede enhetene.

Overvåk og feilsøk

Når du har distribuert egendefinerte datainnsamlingsregler, kan du overvåke ytelsen og feilsøke eventuelle problemer.

Bekreft regeldistribusjon

Hvis du vil kontrollere om en regel samler inn data fra en bestemt enhet, kan du spørre de egendefinerte hendelsestabellene i avansert jakt:

search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents, DeviceCustomProcessEvents, DeviceCustomImageLoadEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize EventCount = count() by RuleName, RuleLastModificationTime, $table
| order by RuleLastModificationTime desc

Vanlige problemer og løsninger

Problem Mulig årsak Løsning
Ingen hendelser er samlet inn Regelen er ikke distribuert ennå Vent opptil 1 time for distribusjon; kontrollere regelstatusen i portalen
Ingen hendelser er samlet inn Enheten er ikke riktig rettet mot Kontroller at dynamisk kode brukes på enheten, og at koderegelen har kjørt i Behandling av aktivaregel
Hendelser sluttet å samle inn Grensen på 25 000 hendelser er nådd Se gjennom regelbetingelser for å gjøre dem mer spesifikke. vent til 24-timers vindu tilbakestilles
Uventede enheter som samler inn data Dynamisk kode brukes bredt Se gjennom koderegler i Behandling av aktivaregel; begrens målrettingskriterier
Regelen er ikke synlig på enheten Enheten oppfyller ikke OS-krav Kontroller at klientversjonen og OS-versjonen oppfyller minimumskravene (Windows 10/11 versjon 10.8805+, Windows Server 2019+)
Egendefinert samling initialiseres ikke EDR-utelukkelser kan forhindre innsamling Se etter EDR-utelatelser på målbaner eller prosesser. enhetsomstart kan være nødvendig hvis egendefinert samling ikke initialiseres
Koder oppdateres ikke Dynamiske koder har ikke kjørt nylig Dynamiske koder oppdateres omtrent hver time – kontroller siste kjøretid i Behandling av aktivaregel

Overvåk regelytelse

  • Kontroller hendelsesvolum: Spør etter egendefinerte hendelsestabeller for å se hvor mange hendelser hver regel samler inn
  • Status for gjennomgangssamling: Overvåk om enheter nærmer seg grensen på 25 000 hendelser per regel per dag
  • Valider målretting: Sørg for at reglene distribueres til de riktige enhetene basert på dynamiske koder

Samle inn alle hendelser for testing

Slik samler du inn alle hendelser fra en bestemt tabell (for testing eller omfattende overvåking):

  1. Opprette en regel med den ønskede tabellen
  2. Velg alle tilgjengelige handlinger
  3. Legg til en betingelse som alltid er sann, for eksempel:
    • For nettverkshendelser: RemotePort not equals 0
    • For filhendelser: FileName not equals ""
    • For prosesshendelser: ProcessCommandLine not equals ""
  4. Mål til en liten pilotgruppe først på grunn av høyt datavolum

Advarsel

Innsamling av alle hendelser genererer svært store datavolumer og kan raskt nå grensen på 25 000 hendelser per enhet. Bruk omfattende samling bare for testing eller spesifikke undersøkende formål på et lite antall enheter.

Behandle regler

Redigere en regel

  1. Naviger> til innstillinger> endepunkterregler>egendefinert datainnsamling
  2. Velg regelen du vil redigere
  3. Velg Rediger
  4. Endre regelinnstillinger etter behov (navn, beskrivelse, tabell, handlinger, betingelser eller enhetsangivelse)
  5. Velg Send

Endringer trer i kraft på målrettede enheter innen 20 minutter til 1 time.

Aktivere eller deaktivere en regel

  1. Velg regelen i Egendefinert datainnsamling
  2. Merk av for eller fjern merket for Aktiver under regelbeskrivelsen

Når du deaktiverer en regel, stopper datainnsamling på alle målrettede enheter i den neste agentinnsjekkingen (vanligvis innen minutter til 1 time).

Slette en regel

  1. Velg regelen i Egendefinert datainnsamling
  2. Velg Slett
  3. Bekreft sletting

Viktig

Sletting av en regel er permanent og kan ikke angres. Historiske data i Microsoft Sentinel forblir tilgjengelige, men ny samling stopper umiddelbart.

Neste trinn

  • Last updated on