Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.
A recolha de dados personalizados (Pré-visualização) permite que as organizações expandam a recolha de telemetria para além das configurações predefinidas para suportar necessidades especializadas de investigação de ameaças e monitorização de segurança. Esta funcionalidade permite que as equipas de segurança definam regras de coleção específicas com filtros personalizados para propriedades de eventos, tais como caminhos de pastas, nomes de processos e ligações de rede.
Porquê utilizar a recolha de dados personalizada?
Microsoft Defender para Ponto de Extremidade recolhe telemetria extensa por predefinição, mas alguns cenários de segurança requerem dados especializados adicionais. Utilize a recolha de dados personalizada quando precisar de visibilidade direcionada para a investigação de ameaças, monitorização de aplicações, provas de conformidade ou resposta a incidentes sem o custo e ruído da recolha de todos os eventos.
Quando utilizar a recolha de dados personalizada
| Cenário | Utilizar quando | Exemplo | Valor de segurança |
|---|---|---|---|
| Busca de ameaças | Tem de procurar padrões de ataque específicos no seu ambiente | Recolher todas as execuções de scripts do PowerShell a partir de estações de trabalho administrativas para detetar scripts maliciosos | Detetar software maligno sem ficheiros, scripts maliciosos ou automatização não autorizada em sistemas privilegiados |
| Monitorização de aplicações | Tem de controlar eventos relevantes de segurança para aplicações personalizadas | Monitorizar padrões de acesso a ficheiros para uma aplicação financeira proprietária | Identificar acesso não autorizado, tentativas de transferência de dados não autorizadas ou violações de conformidade para aplicações de linha de negócio |
| Prova de conformidade | Tem de capturar os registos de auditoria detalhados exigidos pelos regulamentos | Recolher todas as modificações de ficheiros em pastas que contenham dados confidenciais | Cumprir os requisitos regulamentares (PCI-DSS, HIPAA, RGPD) com registos de auditoria forense detalhados |
| Resposta a incidentes | Tem de recolher dados forenses durante investigações ativas | Recolher temporariamente todas as ligações de rede de servidores potencialmente comprometidos | Capturar provas detalhadas para investigação, identificar movimento lateral e apoiar os esforços de remediação |
| Deteção de movimento lateral | Tem de monitorizar indicadores específicos de movimento lateral | Controlar ligações remotas e eventos de autenticação entre controladores de domínio | Detetar atacantes a moverem-se entre sistemas com credenciais roubadas ou ferramentas de acesso remoto |
Benefícios da recolha de dados personalizados
| Benefício | Descrição |
|---|---|
| Visibilidade direcionada | Recolha apenas os eventos de que precisa, reduzindo o ruído e controlando os custos de ingestão de dados no Microsoft Sentinel |
| Investigação flexível | Criar consultas personalizadas sobre telemetria especializada no Microsoft Sentinel para investigação e investigação de ameaças profundas |
| Recolha de provas | Capturar dados forenses detalhados para investigações, auditorias de conformidade e resposta a incidentes |
| Monitorização dimensionável | Coleção de destino para grupos de dispositivos específicos através de etiquetas dinâmicas, garantindo que a coleção permanece atualizada à medida que o seu ambiente muda |
| Controlo de custos | Evite recolher dados desnecessários com filtros específicos e filtragem de dispositivos |
Importante
A recolha de dados personalizada requer a filtragem de dispositivos através de etiquetas dinâmicas. Tem de configurar etiquetas dinâmicas na Gestão de Regras de Recursos antes de criar regras de coleção personalizadas. Veja Criar e gerir etiquetas de dispositivos e dispositivos de destino.
Como funciona a recolha de dados personalizada
A recolha de dados personalizada utiliza a filtragem baseada em regras para capturar eventos específicos de dispositivos de ponto final e encaminhá-los para a área de trabalho Microsoft Sentinel para análise e investigação de ameaças.
O processo de recolha
- Definir regras: criar regras de coleção no portal do Microsoft Defender com filtros de eventos específicos
- Dispositivos de destino: utilize etiquetas dinâmicas para especificar que dispositivos devem recolher os dados
- Regras de implementação: as regras são transmitidas para pontos finais direcionados (normalmente, dentro de 20 minutos a 1 hora)
- Recolher eventos: os pontos finais recolhem eventos que correspondem aos critérios da regra juntamente com a telemetria predefinida
- Analisar dados: consultar dados de eventos personalizados na área de trabalho do Microsoft Sentinel
Observação
As regras de recolha de dados personalizadas funcionam juntamente com a configuração predefinida do Defender para Ponto Final. A coleção personalizada não substitui nem modifica a telemetria padrão— adiciona-a à mesma.
Tabelas de eventos suportadas
A recolha de dados personalizada suporta as seguintes tabelas de eventos. Cada tabela captura diferentes tipos de atividades relevantes para a segurança:
| Nome da tabela | Tipos de eventos | Use para |
|---|---|---|
| DeviceCustomProcessEvents | Criação de processos, terminação e outras atividades de processo | Monitorizar iniciações executáveis, controlar árvores de processos, detetar processos maliciosos |
| DeviceCustomImageLoadEvents | DLL e eventos de carregamento de imagens | Identificar a injeção de biblioteca maliciosa, controlar cargas suspeitas de módulos |
| DeviceCustomFileEvents | Criação, modificação, eliminação e acesso a ficheiros | Monitorizar dados confidenciais acesso, controlar indicadores de ransomware, auditoria de conformidade |
| DeviceCustomNetworkEvents | Eventos de ligação de rede com IPs, portas e protocolos | Detetar movimento lateral, monitorizar comunicações C2, controlar ligações não autorizadas |
| DeviceCustomScriptEvents | Execução de scripts (PowerShell, JavaScript, etc.) | Detetar software maligno sem ficheiros, monitorizar scripts administrativos, identificar ataques baseados em scripts |
Para obter informações detalhadas sobre o esquema, veja Tabelas de esquemas de investigação avançada.
Pré-requisitos e requisitos
Antes de utilizar a recolha de dados personalizada, certifique-se de que cumpre os seguintes requisitos:
| Categoria de requisitos | Detalhes |
|---|---|
| Licenças | • licença Microsoft Defender para Ponto de Extremidade Plano 2 |
| Microsoft Sentinel área de trabalho | • Área de trabalho Microsoft Sentinel ligada para armazenamento e consulta de dados personalizados • Tem de selecionar a área de trabalho ao criar regras de recolha de dados personalizadas • Atualmente limitado a um Sentinel área de trabalho por inquilino para recolha de dados personalizados |
| Filtragem de dispositivos | • Etiquetas dinâmicas configuradas na Gestão de Regras de Recursos • As etiquetas dinâmicas têm de ser executadas pelo menos uma vez antes de serem utilizadas em regras de coleção personalizadas • As etiquetas manuais (estáticas) não são suportadas para recolha de dados personalizados |
| Sistemas operacionais | • Windows 10 e 11 (versão mínima do cliente 10.8805) - Windows 10 requer inscrição no programa Atualizações de Segurança Alargada (ESU) • Windows Server 2019 e posterior |
| Considerações de custos | • A recolha de dados personalizados está incluída no licenciamento do Microsoft Defender para Ponto de Extremidade P2 • A ingestão de dados em Microsoft Sentinel incorre em encargos com base na disposição de faturação Sentinel • Direcionar a recolha cuidadosamente para grupos de dispositivos específicos para controlar o volume e os custos dos dados |
| Limites de desempenho | • Cada regra pode capturar até 25 000 eventos por dispositivo por janela temporal de 24 horas • Quando um dispositivo atinge o limiar, a telemetria dessa regra específica para até que a janela seja reposta • Várias regras podem estar ativas em simultâneo, cada uma com o seu próprio limite • Normalmente, a implementação da regra demora entre 20 minutos e 1 hora |
Veja Criar regras de recolha de dados personalizadas para obter os pré-requisitos completos e as instruções de configuração.
Perguntas frequentes
| Pergunta | Resposta |
|---|---|
| A recolha de dados personalizados afeta a configuração predefinida do Defender para Endpoint? | Não, as regras de recolha de dados personalizadas funcionam juntamente com a configuração predefinida do Defender para Endpoint sem interferências. A coleção personalizada não substitui nem modifica a telemetria padrão— adiciona-a à mesma. |
| É necessária uma área de trabalho Microsoft Sentinel? | Sim, precisa de uma área de trabalho Microsoft Sentinel ligada para criar e utilizar regras de recolha de dados personalizadas. Também tem de selecionar a área de trabalho ao criar regras. |
| Por que motivo são necessárias etiquetas dinâmicas? | As etiquetas dinâmicas garantem que a segmentação de dispositivos permanece atualizada à medida que o seu ambiente muda. As etiquetas manuais não são atualizadas automaticamente, o que pode resultar numa segmentação de coleção desatualizada. As etiquetas dinâmicas também são necessárias para a integração com a Gestão de Regras de Recursos. |
| Como posso saber se uma regra está ativa num dispositivo? | Consulte a tabela de eventos personalizada relevante para que o dispositivo veja os eventos recolhidos. Por exemplo:search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| O que acontece quando um dispositivo atinge o limite de 25 000 eventos? | A coleção de telemetria dessa regra específica para até que a janela temporal de 24 horas seja reposta. Outras regras no dispositivo continuam a recolher eventos. Refine as condições da regra para torná-las mais específicas e reduzir o volume de eventos. |
| Posso utilizar etiquetas manuais para a recolha de dados personalizados? | Não, apenas são suportadas etiquetas dinâmicas. As etiquetas dinâmicas são atualizadas automaticamente à medida que as propriedades do dispositivo mudam, garantindo que o destino da coleção se mantém exato. |
| Quanto tempo demora a implementação de uma regra nos dispositivos? | Normalmente, a implementação de regras demora entre 20 minutos e 1 hora. Verifique a implementação ao consultar as tabelas de eventos personalizadas para obter dados de dispositivos visados. |
Próximas etapas
- Criar regras de recolha de dados personalizadas: instruções passo a passo para criar e gerir regras
- Criar e gerir etiquetas de dispositivos e dispositivos de destino: Configurar etiquetas dinâmicas para filtragem de dispositivos