Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Mit der benutzerdefinierten Datensammlung (Vorschau) können Organisationen die Telemetriesammlung über Standardkonfigurationen hinaus erweitern, um spezielle Anforderungen an die Bedrohungssuche und Sicherheitsüberwachung zu unterstützen. Mit diesem Feature können Sicherheitsteams bestimmte Sammlungsregeln mit maßgeschneiderten Filtern für Ereigniseigenschaften wie Ordnerpfade, Prozessnamen und Netzwerkverbindungen definieren.
Gründe für die Verwendung einer benutzerdefinierten Datensammlung
Microsoft Defender for Endpoint sammelt standardmäßig umfangreiche Telemetriedaten, aber einige Sicherheitsszenarien erfordern zusätzliche, spezialisierte Daten. Verwenden Sie benutzerdefinierte Datensammlungen, wenn Sie gezielte Sichtbarkeit für bedrohungssuche, Anwendungsüberwachung, Compliancebeweis oder Reaktion auf Vorfälle benötigen, ohne die Kosten und Rauschen der Erfassung aller Ereignisse zu vermeiden.
Verwendung der benutzerdefinierten Datensammlung
| Szenario | Verwenden Sie , wenn | Beispiel | Sicherheitswert |
|---|---|---|---|
| Bedrohungssuche | Sie müssen in Ihrer Umgebung nach bestimmten Angriffsmustern suchen. | Sammeln aller PowerShell-Skriptausführungen von administrativen Arbeitsstationen, um schädliche Skripts zu erkennen | Erkennen von dateiloser Schadsoftware, schädlichen Skripts oder nicht autorisierter Automatisierung auf privilegierten Systemen |
| Anwendungsüberwachung | Sie müssen sicherheitsrelevante Ereignisse für benutzerdefinierte Anwendungen nachverfolgen. | Überwachen von Dateizugriffsmustern für eine proprietäre Finanzanwendung | Identifizieren von nicht autorisiertem Zugriff, Datenexfiltrationsversuchen oder Complianceverstößen für branchenspezifische Apps |
| Konformitätsbeweis | Sie müssen detaillierte Überwachungsprotokolle erfassen, die gemäß Vorschriften erforderlich sind. | Erfassen aller Dateiänderungen in Ordnern, die vertrauliche Daten | Einhaltung gesetzlicher Anforderungen (PCI-DSS, HIPAA, DSGVO) mit detaillierten forensischen Audit-Trails |
| Reaktion auf Vorfälle | Sie müssen bei aktiven Untersuchungen forensische Daten sammeln. | Vorübergehendes Sammeln aller Netzwerkverbindungen von potenziell kompromittierten Servern | Erfassen sie detaillierte Beweise für die Untersuchung, identifizieren Sie laterale Bewegungen und unterstützen Sie Korrekturmaßnahmen. |
| Lateral Movement-Erkennung | Sie müssen auf bestimmte Indikatoren der lateralen Bewegung überwachen. | Nachverfolgen von Remoteverbindungen und Authentifizierungsereignissen über Domänencontroller hinweg | Erkennen von Angreifern, die mit gestohlenen Anmeldeinformationen oder Remotezugriffstools zwischen Systemen wechseln |
Vorteile der benutzerdefinierten Datensammlung
| Nutzen | Beschreibung |
|---|---|
| Gezielte Sichtbarkeit | Sammeln Sie nur die Ereignisse, die Sie benötigen, reduzieren Sie Rauschen und steuern Sie die Datenerfassungskosten in Microsoft Sentinel |
| Flexible Suche | Erstellen von benutzerdefinierten Abfragen für spezialisierte Telemetriedaten in Microsoft Sentinel für umfassende Bedrohungssuche und -untersuchung |
| Beweissammlung | Erfassen detaillierter forensischer Daten für Untersuchungen, Compliance-Audits und Reaktion auf Vorfälle |
| Skalierbare Überwachung | Richten Sie die Sammlung mithilfe dynamischer Tags auf bestimmte Gerätegruppen aus, um sicherzustellen, dass die Sammlung auf dem neuesten Stand bleibt, wenn sich Ihre Umgebung ändert. |
| Kostenkontrolle | Vermeiden Sie das Sammeln unnötiger Daten, indem Sie bestimmte Filter und Geräteadressierung verwenden. |
Wichtig
Die benutzerdefinierte Datensammlung erfordert die Geräteadressierung mithilfe dynamischer Tags. Sie müssen dynamische Tags in der Ressourcenregelverwaltung konfigurieren, bevor Sie benutzerdefinierte Sammlungsregeln erstellen. Weitere Informationen finden Sie unter Erstellen und Verwalten von Gerätetags und Zielgeräten.
Funktionsweise der benutzerdefinierten Datensammlung
Die benutzerdefinierte Datensammlung verwendet regelbasierte Filterung, um bestimmte Ereignisse von Endpunktgeräten zu erfassen und zur Analyse und Bedrohungssuche an Ihren Microsoft Sentinel Arbeitsbereich weiterzuleiten.
Der Sammlungsprozess
- Definieren von Regeln: Erstellen von Sammlungsregeln im Microsoft Defender-Portal mit bestimmten Ereignisfiltern
- Zielgeräte: Verwenden Sie dynamische Tags, um anzugeben, welche Geräte die Daten sammeln sollen.
- Bereitstellungsregeln: Regeln werden an Zielendpunkte übertragen (in der Regel innerhalb von 20 Minuten bis 1 Stunde).
- Sammeln von Ereignissen: Endpunkte sammeln Ereignisse, die Ihren Regelkriterien entsprechen, zusammen mit Standardtelemetriedaten.
- Analysieren von Daten: Abfragen von benutzerdefinierten Ereignisdaten in Ihrem Microsoft Sentinel Arbeitsbereich
Hinweis
Benutzerdefinierte Datensammlungsregeln funktionieren zusammen mit der Standardkonfiguration von Defender für Endpunkt. Die benutzerdefinierte Sammlung ersetzt oder ändert keine Standardtelemetriedaten, sie fügt sie hinzu.
Unterstützte Ereignistabellen
Die benutzerdefinierte Datensammlung unterstützt die folgenden Ereignistabellen. Jede Tabelle erfasst verschiedene Arten von sicherheitsrelevanten Aktivitäten:
| Tabellenname | Ereignistypen | Verwendet für |
|---|---|---|
| DeviceCustomProcessEvents | Prozesserstellung, -beendigung und andere Prozessaktivitäten | Überwachen von Starts ausführbarer Dateien, Nachverfolgen von Prozessstrukturen, Erkennen bösartiger Prozesse |
| DeviceCustomImageLoadEvents | DLL- und Imageladeereignisse | Identifizieren von schädlichen Bibliotheksinjektionen, Nachverfolgen verdächtiger Modulladevorgänge |
| DeviceCustomFileEvents | Erstellen, Ändern, Löschen und Zugriff auf Dateien | Überwachung vertrauliche Daten Zugriffs, Nachverfolgen von Ransomware-Indikatoren, Compliance-Überwachung |
| DeviceCustomNetworkEvents | Netzwerkverbindungsereignisse mit IP-Adressen, Ports und Protokollen | Erkennen von Lateral Movement, Überwachen der C2-Kommunikation, Nachverfolgen nicht autorisierter Verbindungen |
| DeviceCustomScriptEvents | Skriptausführung (PowerShell, JavaScript usw.) | Erkennen dateiloser Schadsoftware, Überwachen administrativer Skripts, Identifizieren von skriptbasierten Angriffen |
Ausführliche Schemainformationen finden Sie unter Schematabellen der erweiterten Suche.
Voraussetzungen und Anforderungen
Vollständige Voraussetzungen und Setupanforderungen finden Sie unter Erstellen benutzerdefinierter Datensammlungsregeln.
Häufig gestellte Fragen
| Frage | Antwort |
|---|---|
| Wirkt sich die benutzerdefinierte Datensammlung auf die Standardkonfiguration von Defender für Endpunkt aus? | Nein, benutzerdefinierte Datensammlungsregeln funktionieren zusammen mit der Defender für Endpunkt-Standardkonfiguration ohne Störungen. Die benutzerdefinierte Sammlung ersetzt oder ändert keine Standardtelemetriedaten, sie fügt sie hinzu. |
| Ist ein Microsoft Sentinel Arbeitsbereich erforderlich? | Ja, Sie benötigen einen verbundenen Microsoft Sentinel Arbeitsbereich, um benutzerdefinierte Datensammlungsregeln zu erstellen und zu verwenden. Sie müssen auch den Arbeitsbereich auswählen, wenn Sie Regeln erstellen. |
| Warum sind dynamische Tags erforderlich? | Dynamische Tags stellen sicher, dass die Geräteadressierung auf dem neuesten Stand bleibt, wenn sich Ihre Umgebung ändert. Manuelle Tags werden nicht automatisch aktualisiert, was zu veralteten Sammlungszielen führen kann. Dynamische Tags sind auch für die Integration mit Asset Rule Management erforderlich. |
| Wie kann ich feststellen, ob eine Regel auf einem Gerät aktiv ist? | Fragen Sie die relevante benutzerdefinierte Ereignistabelle für das Gerät ab, um gesammelte Ereignisse anzuzeigen. Zum Beispiel:search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| Was geschieht, wenn ein Gerät das Limit von 75.000 Ereignissen erreicht? | Die Telemetrieerfassung für diese bestimmte Regel wird angehalten, bis das 24-Stunden-Rollfenster zurückgesetzt wird. Andere Regeln auf dem Gerät sammeln weiterhin Ereignisse. Verfeinern Sie Ihre Regelbedingungen, um sie spezifischer zu gestalten und das Ereignisvolumen zu reduzieren. |
| Kann ich manuelle Tags für die benutzerdefinierte Datensammlung verwenden? | Nein, es werden nur dynamische Tags unterstützt. Dynamische Tags werden automatisch aktualisiert, wenn sich die Geräteeigenschaften ändern, um sicherzustellen, dass die Sammlungsadressierung genau bleibt. |
| Wie lange dauert es, bis eine Regel auf Geräten bereitgestellt wird? | Die Regelbereitstellung dauert in der Regel 20 Minuten bis 1 Stunde. Überprüfen Sie die Bereitstellung, indem Sie die benutzerdefinierten Ereignistabellen nach Daten von Zielgeräten abfragen. |
Nächste Schritte
- Erstellen von benutzerdefinierten Datensammlungsregeln: Schritt-für-Schritt-Anweisungen zum Erstellen und Verwalten von Regeln
- Erstellen und Verwalten von Gerätetags und Zielgeräten: Konfigurieren dynamischer Tags für die Geräteadressierung