Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Viktig
Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.
Egendefinert datainnsamling (forhåndsvisning) gjør det mulig for organisasjoner å utvide telemetriinnsamling utover standardkonfigurasjoner for å støtte spesialiserte trusseljakt- og sikkerhetsovervåkingsbehov. Denne funksjonen gjør det mulig for sikkerhetsteam å definere bestemte samlingsregler med skreddersydde filtre for hendelsesegenskaper, for eksempel mappebaner, prosessnavn og nettverkstilkoblinger.
Hvorfor bruke egendefinert datainnsamling?
Microsoft Defender for endepunkt samler inn omfattende telemetri som standard, men noen sikkerhetsscenarioer krever ytterligere spesialiserte data. Bruk egendefinert datainnsamling når du trenger målrettet synlighet for trusseljakt, programovervåking, samsvarsbevis eller hendelsesrespons uten kostnader og støy fra innsamling av alle hendelser.
Når du skal bruke egendefinert datainnsamling
| Scenario | Bruk når | Eksempel | Sikkerhetsverdi |
|---|---|---|---|
| Trusseljakt | Du må søke etter spesifikke angrepsmønstre på tvers av miljøet ditt | Samle inn alle Kjøringer av PowerShell-skript fra administrative arbeidsstasjoner for å oppdage skadelige skript | Oppdage filløs skadelig programvare, skadelige skript eller uautorisert automatisering på privilegerte systemer |
| Programovervåking | Du må spore sikkerhetsrelaterte hendelser for egendefinerte programmer | Overvåk filtilgangsmønstre for et rettighetsbeskyttet økonomisk program | Identifiser uautorisert tilgang, dataeksfiltreringsforsøk eller samsvarsbrudd for bransjespesifikke apper |
| Samsvarsbevis | Du må registrere detaljerte overvåkingslogger som kreves av forskrifter | Samle inn alle filendringer i mapper som inneholder sensitive data | Oppfyller forskriftsmessige krav (PCI-DSS, HIPAA, GDPR) med detaljerte rettsmedisinske revisjonsspor |
| Hendelsesrespons | Du må samle inn rettsmedisinske data under aktive undersøkelser | Samle inn alle nettverkstilkoblinger midlertidig fra potensielt kompromitterte servere | Fange opp detaljerte bevis for etterforskning, identifisere sidebevegelse og støtte utbedringsarbeid |
| Lateral bevegelsesgjenkjenning | Du må overvåke for spesifikke indikatorer for sidebevegelse | Spor eksterne tilkoblinger og godkjenningshendelser på tvers av domenekontrollere | Oppdag angripere som beveger seg mellom systemer ved hjelp av stjålet legitimasjon eller verktøy for ekstern tilgang |
Fordeler med egendefinert datainnsamling
| Fordel | Beskrivelse |
|---|---|
| Målrettet synlighet | Samle bare inn hendelsene du trenger, noe som reduserer støy og kontrollerer datainntakskostnader i Microsoft Sentinel |
| Fleksibel jakt | Bygg egendefinerte spørringer på spesialisert telemetri i Microsoft Sentinel for dyp trusseljakt og undersøkelse |
| Innsamling av bevis | Registrere detaljerte rettsmedisinske data for undersøkelser, samsvarsrevisjoner og hendelsesrespons |
| Skalerbar overvåking | Målsamling for bestemte enhetsgrupper ved hjelp av dynamiske koder, slik at samlingen forblir oppdatert etter hvert som miljøet endres |
| Kostnadskontroll | Unngå å samle inn unødvendige data ved hjelp av bestemte filtre og enhetsmålretting |
Viktig
Egendefinert datainnsamling krever enhetsmålretting ved hjelp av dynamiske koder. Du må konfigurere dynamiske koder i Asset Rule Management før du oppretter egendefinerte samlingsregler. Se Opprette og administrere enhetskoder og målenheter.
Slik fungerer egendefinert datainnsamling
Egendefinert datainnsamling bruker regelbasert filtrering til å registrere bestemte hendelser fra endepunktenheter og rute dem til Microsoft Sentinel-arbeidsområdet for analyse og trusseljakt.
Innsamlingsprosessen
- Definer regler: Opprett samlingsregler i Microsoft Defender-portalen med bestemte hendelsesfiltre
- Målenheter: Bruk dynamiske koder til å angi hvilke enheter som skal samle inn dataene
- Distribusjonsregler: Regler sendes til målrettede endepunkter (vanligvis innen 20 minutter til 1 time)
- Samle hendelser: Endepunkter samler inn hendelser som samsvarer med regelvilkårene sammen med standard telemetri
- Analyser data: Spør etter egendefinerte hendelsesdata i Microsoft Sentinel arbeidsområdet
Obs!
Egendefinerte regler for datainnsamling fungerer sammen med standardkonfigurasjonen defender for endepunkt. Egendefinert samling erstatter eller endrer ikke standard telemetri – den legges til i den.
Støttede hendelsestabeller
Egendefinert datainnsamling støtter følgende hendelsestabeller. Hver tabell registrerer ulike typer sikkerhetsrelevante aktiviteter:
| Tabellnavn | Hendelsestyper | Bruk for |
|---|---|---|
| DeviceCustomProcessEvents | Prosessoppretting, avslutning og andre prosessaktiviteter | Overvåke kjørbare lanseringer, spore prosesstrær, oppdage ondsinnede prosesser |
| DeviceCustomImageLoadEvents | Dll- og bildeinnlastingshendelser | Identifisere innsetting av skadelig bibliotek, spore mistenkelige modulbelastninger |
| DeviceCustomFileEvents | Filoppretting, endring, sletting og tilgang | Overvåke sensitive data tilgang, spore indikatorer for løsepengevirus, overvåking av samsvar |
| DeviceCustomNetworkEvents | Nettverkstilkoblingshendelser med IP-adresser, porter og protokoller | Oppdage sidebevegelse, overvåke C2-kommunikasjon, spore uautoriserte tilkoblinger |
| DeviceCustomScriptEvents | Skriptkjøring (PowerShell, JavaScript osv.) | Oppdage filløs skadelig programvare, overvåke administrative skript, identifisere skriptbaserte angrep |
Hvis du vil ha detaljert skjemainformasjon, kan du se Avanserte skjematabeller for jakt.
Forutsetninger og krav
Før du bruker egendefinert datainnsamling, må du sørge for at du oppfyller følgende krav:
| Kravkategori | Detaljer |
|---|---|
| Lisenser | • Microsoft Defender for endepunkt Plan 2-lisens |
| Microsoft Sentinel arbeidsområde | • Tilkoblet Microsoft Sentinel arbeidsområde for egendefinert datalagring og spørring • Må velge arbeidsområde når du oppretter egendefinerte datainnsamlingsregler • For øyeblikket begrenset til ett Sentinel arbeidsområde per leier for egendefinert datainnsamling |
| Enhetsmålretting | • Dynamiske koder konfigurert i asset rule management • Dynamiske koder må kjøres minst én gang før bruk i egendefinerte samlingsregler • Manuelle (statiske) koder støttes ikke for egendefinert datainnsamling |
| Operativsystemer | • Windows 10 og 11 (minimum klientversjon 10.8805) – Windows 10 krever registrering i programmet Extended Security Oppdateringer (ESU) • Windows Server 2019 og nyere |
| Kostnadsvurderinger | • Egendefinert datainnsamling er inkludert i Microsoft Defender for endepunkt P2-lisensiering • Datainntak i Microsoft Sentinel pådrar seg gebyrer basert på din Sentinel faktureringsordning • Målinnsamling nøye til bestemte enhetsgrupper for å kontrollere datavolum og kostnader |
| Ytelsesgrenser | • Hver regel kan registrere opptil 25 000 hendelser per enhet per 24-timers rullende vindu • Når en enhet når terskelen, stopper telemetri for den bestemte regelen til vinduet tilbakestilles • Flere regler kan være aktive samtidig, hver med sin egen grense • Regeldistribusjon tar vanligvis 20 minutter til 1 time |
Se Opprette egendefinerte regler for datainnsamling for fullstendige forutsetninger og installasjonsinstruksjoner.
Vanlige spørsmål
| Spørsmål | Svar |
|---|---|
| Påvirker egendefinert datainnsamling standardkonfigurasjonen for Defender for endepunkt? | Nei, regler for egendefinert datainnsamling fungerer sammen med standardkonfigurasjonen defender for endepunkt uten forstyrrelser. Egendefinert samling erstatter eller endrer ikke standard telemetri – den legges til i den. |
| Kreves et Microsoft Sentinel arbeidsområde? | Ja, du trenger en tilkoblet Microsoft Sentinel arbeidsområde for å opprette og bruke egendefinerte datainnsamlingsregler. Du må også velge arbeidsområdet når du oppretter regler. |
| Hvorfor kreves dynamiske koder? | Dynamiske koder sikrer at enhetsanvisningen forblir oppdatert etter hvert som miljøet endres. Manuelle koder oppdateres ikke automatisk, noe som kan føre til utdatert innsamlingsmålretting. Dynamiske koder kreves også for integrering med behandling av aktivaregel. |
| Hvordan vet jeg om en regel er aktiv på en enhet? | Spør den relevante egendefinerte hendelsestabellen for enheten for å se innsamlede hendelser. Eksempel:search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| Hva skjer når en enhet når grensen på 25 000 hendelser? | Telemetrisamlingen for den bestemte regelen stopper til det 24-timers rullende vinduet tilbakestilles. Andre regler på enheten fortsetter å samle inn hendelser. Begrens regelbetingelsene for å gjøre dem mer spesifikke og redusere hendelsesvolumet. |
| Kan jeg bruke manuelle koder for egendefinert datainnsamling? | Nei, bare dynamiske koder støttes. Dynamiske koder oppdateres automatisk etter hvert som enhetsegenskapene endres, slik at innsamlingsmålrettingen forblir nøyaktig. |
| Hvor lang tid tar det før en regel distribueres til enheter? | Regeldistribusjon tar vanligvis 20 minutter til 1 time. Bekreft distribusjonen ved å spørre de egendefinerte hendelsestabellene for data fra målrettede enheter. |
Neste trinn
- Opprett egendefinerte regler for datainnsamling: Trinnvise instruksjoner for å opprette og behandle regler
- Opprett og administrer enhetskoder og målenheter: Konfigurere dynamiske koder for enhetsanvisning