Creación y administración de reglas de recopilación de datos personalizadas en Microsoft Defender para punto de conexión (versión preliminar)

  • Se aplica a: Microsoft Defender for Endpoint

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

En este artículo se muestra cómo crear y administrar reglas de recopilación de datos personalizadas en el portal de Microsoft Defender.

Sugerencia

Antes de crear reglas de recopilación personalizadas, revise Recopilación de datos personalizada para comprender cuándo y por qué usar esta característica.

Requisitos previos

Asegúrese de que tiene:

Requisito Detalles
License Microsoft Defender para punto de conexión Plan 2
Microsoft Sentinel área de trabajo Área de trabajo de Microsoft Sentinel conectada (necesaria para el almacenamiento de datos personalizado)
Etiquetas dinámicas Configurado en Asset Rule Management y ejecutado al menos una vez
Sistemas operativos admitidos • Windows 10 y 11 (versión mínima del cliente 10.8805; Windows 10 requiere la inscripción de ESU)
• Windows Server 2019 y versiones posteriores

Importante

Incluso si tiene un área de trabajo Microsoft Sentinel conectada, debe seleccionar el área de trabajo al crear reglas de recopilación de datos personalizadas.

Rendimiento y límites

  • Cada regla puede capturar hasta 25 000 eventos por dispositivo por ventana gradual de 24 horas
  • Cuando un dispositivo alcanza el umbral, la telemetría de esa regla se detiene hasta que se restablece la ventana.
  • La implementación de reglas suele tardar entre 20 minutos y 1 hora
  • La recopilación personalizada funciona junto con la configuración predeterminada sin interferencias

Consideraciones acerca de la seguridad

Tenga en cuenta estas implicaciones de seguridad antes de crear reglas:

Consideración Detalles Recomendación
Impacto en el ámbito de la regla Las reglas demasiado amplias generan grandes volúmenes de datos, lo que aumenta los costos y dificulta el análisis. Equilibrar la especificidad con la cobertura mediante la iteración y el refinamiento de reglas en función de los resultados iniciales
Reglas demasiado estrechas Puede que se pierdan eventos de seguridad importantes Prueba con grupos piloto y supervisión de brechas en la cobertura
Consideraciones de rendimiento Cada dispositivo tiene un límite de 25 000 eventos por regla y día. Use varias reglas centradas en lugar de una regla demasiado amplia; reglas de destino cuidadosamente a los dispositivos donde la supervisión es esencial
Estrategia de prueba La implementación de reglas sin pruebas puede provocar costos inesperados o eventos perdidos 1. Empezar con un grupo piloto pequeño (5-10 dispositivos)
2. Supervisión del volumen de datos y la calidad del evento durante 24-48 horas
3. Refinar las condiciones en función de los resultados
4. Expansión gradual a grupos de dispositivos más grandes
5. Revisar periódicamente las métricas de costo y rendimiento

Costos de datos

  • La recopilación de datos personalizada se incluye con Microsoft Defender para punto de conexión P2
  • La ingesta de datos en Microsoft Sentinel incurre en cargos en función de la facturación Sentinel
  • Recopilación de destino a grupos de dispositivos específicos para controlar los costos

Crear reglas

  1. Enel portal de Microsoft Defender, vaya a Configuración> Reglas depuntos de conexiónRecopilación de datos personalizados.>>

  2. Para incorporar el área de trabajo de Microsoft Sentinel, en la parte superior derecha, seleccione el nombre del área de trabajo Microsoft Sentinel.

    Captura de pantalla de la selección de un área de trabajo de Microsoft Sentinel.

  3. En la página Ámbito del área de trabajo, seleccione el área de trabajo.

    Captura de pantalla de la selección de un ámbito de área de trabajo de Microsoft Sentinel.

    Nota:

    Debe seleccionar el área de trabajo en esta fase, incluso si ya tiene un área de trabajo Microsoft Sentinel conectada.

  4. Seleccione Crear regla. En la sección Información general , escriba un nombre de regla y una descripción y seleccione Siguiente.

    Captura de pantalla de la creación de una regla: página Información general.

  5. En la sección Crear regla :

    1. Seleccione la tabla de la que desea recopilar datos. Para obtener más información, consulte Tablas de eventos compatibles.
    2. Seleccione la acción para la que desea recopilar datos.
    3. Agregue condiciones de regla para filtrar los datos aún más. Puede agregar varias condiciones para refinar la recopilación de datos. Las condiciones de regla se basan en la tabla seleccionada. Para obtener más información, vea el vínculo de tabla correspondiente en Tablas de eventos compatibles.

    Captura de pantalla de la creación de una regla: página Crear regla.

  6. Seleccione Siguiente.

  7. En la sección Definir ámbito de regla , seleccione si desea recopilar datos de todos los dispositivos cliente aplicables o de dispositivos específicos que incluyan etiquetas dinámicas. Para obtener más información, consulte Creación de reglas dinámicas para dispositivos en la administración de reglas de recursos.

    Captura de pantalla de la creación de una regla: página Definir ámbito.

    Nota:

    La recopilación de datos personalizada solo admite etiquetas dinámicas.

  8. En la sección Revisar y finalizar , revise la configuración de la regla y seleccione Enviar.

    Captura de pantalla de la creación de una regla: página Revisar y finalizar.

La regla puede tardar hasta una hora en implementarse en los dispositivos de destino.

Supervisar y solucionar problemas

Después de implementar reglas de recopilación de datos personalizadas, supervise su rendimiento y solucione cualquier problema.

Comprobación de la implementación de reglas

Para comprobar si una regla recopila datos de un dispositivo específico, consulte las tablas de eventos personalizadas en la búsqueda avanzada:

search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents, DeviceCustomProcessEvents, DeviceCustomImageLoadEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize EventCount = count() by RuleName, RuleLastModificationTime, $table
| order by RuleLastModificationTime desc

Problemas y soluciones comunes

Incidencia Causa posible Solución
No se recopila ningún evento Regla aún no implementada Espere hasta 1 hora para la implementación; comprobar el estado de la regla en el portal
No se recopila ningún evento Dispositivo no dirigido correctamente Comprobar que la etiqueta dinámica se aplica al dispositivo y que la regla de etiquetas se ha ejecutado en Asset Rule Management
Eventos que dejaron de recopilarse Se alcanzó el límite de 25 000 eventos Revise las condiciones de la regla para que sean más específicas; esperar a que se restablezca la ventana de 24 horas
Dispositivos inesperados que recopilan datos Etiqueta dinámica aplicada ampliamente Revise las reglas de etiquetas en Administración de reglas de recursos; refinar los criterios de selección de destino
Regla no visible en el dispositivo El dispositivo no cumple los requisitos del sistema operativo Compruebe que la versión del cliente y la versión del sistema operativo cumplen los requisitos mínimos (Windows 10/11, versión 10.8805+, Windows Server 2019+)
Colección personalizada que no se inicializa Las exclusiones de EDR pueden impedir la recopilación Compruebe si hay exclusiones de EDR en rutas de acceso o procesos de destino; es posible que se requieran reinicios del dispositivo si la recopilación personalizada no se inicializa
Etiquetas que no se actualizan Las etiquetas dinámicas no se han ejecutado recientemente Las etiquetas dinámicas se actualizan aproximadamente cada hora: compruebe El último tiempo de ejecución en Asset Rule Management

Supervisión del rendimiento de las reglas

  • Comprobación del volumen de eventos: consulta de tablas de eventos personalizadas para ver cuántos eventos recopila cada regla
  • Revisar el estado de la recopilación: supervise si los dispositivos se aproximan al límite de 25 000 eventos por regla y día
  • Validar destino: asegúrese de que las reglas se implementan en los dispositivos correctos en función de las etiquetas dinámicas.

Recopilación de todos los eventos para pruebas

Para recopilar todos los eventos de una tabla específica (para pruebas o supervisión completa):

  1. Creación de una regla con la tabla deseada
  2. Seleccionar todas las acciones disponibles
  3. Agregue una condición que siempre sea verdadera, como:
    • Para eventos de red: RemotePort not equals 0
    • Para eventos de archivo: FileName not equals ""
    • Para eventos de proceso: ProcessCommandLine not equals ""
  4. Dirigirse primero a un grupo piloto pequeño debido a un gran volumen de datos

Advertencia

La recopilación de todos los eventos genera volúmenes de datos muy grandes y puede alcanzar rápidamente el límite de 25 000 eventos por dispositivo. Use la recopilación completa solo para pruebas o fines de investigación específicos en un número reducido de dispositivos.

Administrar reglas

Edición de una regla

  1. Vaya a Configuración>Reglas de puntos de conexiónRecopilación de datos personalizados>>
  2. Seleccione la regla que desea editar.
  3. Seleccione Editar.
  4. Modificar la configuración de regla según sea necesario (nombre, descripción, tabla, acciones, condiciones o destino de dispositivos)
  5. Seleccione Enviar.

Los cambios surten efecto en los dispositivos de destino en un plazo de 20 minutos a 1 hora.

Habilitación o deshabilitación de una regla

  1. En Recopilación de datos personalizados, seleccione la regla.
  2. Active o desactive la casilla Habilitar en la descripción de la regla.

Al deshabilitar una regla, la recopilación de datos se detiene en todos los dispositivos de destino dentro de la siguiente protección del agente (normalmente en cuestión de minutos a 1 hora).

Eliminación de una regla

  1. En Recopilación de datos personalizados, seleccione la regla.
  2. Seleccione Eliminar.
  3. Confirmación de la eliminación

Importante

La eliminación de una regla es permanente y no se puede deshacer. Los datos históricos de Microsoft Sentinel permanecen disponibles, pero la nueva colección se detiene inmediatamente.

Pasos siguientes

  • Last updated on