Créer et gérer des règles de collecte de données personnalisées dans Microsoft Defender pour point de terminaison (préversion)

  • S’applique à: Microsoft Defender for Endpoint

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Cet article explique comment créer et gérer des règles de collecte de données personnalisées dans le portail Microsoft Defender.

Conseil

Avant de créer des règles de collecte personnalisées, consultez Collecte de données personnalisées pour comprendre quand et pourquoi utiliser cette fonctionnalité.

Configuration requise

Vérifiez que vous disposez des points suivants :

Conditions requises Détails
License Microsoft Defender pour point de terminaison Plan 2
Microsoft Sentinel espace de travail Espace de travail Microsoft Sentinel connecté (requis pour le stockage de données personnalisé)
Balises dynamiques Configuré dans Gestion des règles de ressources et exécuté au moins une fois
Systèmes d’exploitation pris en charge • Windows 10 et 11 (version minimale du client 10.8805 ; Windows 10 nécessite une inscription ESU)
• Windows Server 2019 et versions ultérieures

Importante

Même si vous disposez d’un espace de travail Microsoft Sentinel connecté, vous devez sélectionner l’espace de travail lors de la création de règles de collecte de données personnalisées.

Performances et limites

  • Chaque règle peut capturer jusqu’à 25 000 événements par appareil par fenêtre propagée de 24 heures
  • Lorsqu’un appareil atteint le seuil, la télémétrie de cette règle s’arrête jusqu’à ce que la fenêtre soit réinitialisée
  • Le déploiement de règle prend généralement de 20 minutes à 1 heure
  • La collection personnalisée fonctionne avec la configuration par défaut sans interférence

Considérations en matière de sécurité

Tenez compte des implications de sécurité suivantes avant de créer des règles :

Considération Détails Recommandation
Impact sur l’étendue de la règle Des règles trop larges génèrent des volumes de données importants, augmentant les coûts et rendant l’analyse difficile Équilibrer la spécificité avec la couverture en itérant et en affinant des règles basées sur les résultats initiaux
Règles trop étroites Peut manquer des événements de sécurité importants Tester avec des groupes pilotes et surveiller les lacunes dans la couverture
Considérations liées aux performances Chaque appareil a une limite de 25 000 événements par règle et par jour Utiliser plusieurs règles ciblées plutôt qu’une règle trop large ; cibler soigneusement les règles sur les appareils pour lesquels la surveillance est essentielle
Stratégie de test Le déploiement de règles sans test peut entraîner des coûts inattendus ou des événements manqués 1. Commencez avec un petit groupe pilote (5 à 10 appareils)
2. Surveiller le volume de données et la qualité des événements pendant 24 à 48 heures
3. Affiner les conditions en fonction des résultats
4. Développer progressivement à des groupes d’appareils plus grands
5. Examiner régulièrement les métriques de coût et de performances

Coûts des données

  • La collecte de données personnalisées est incluse dans Microsoft Defender pour point de terminaison P2
  • L’ingestion de données dans Microsoft Sentinel entraîne des frais en fonction de votre facturation Sentinel
  • Cibler le regroupement vers des groupes d’appareils spécifiques pour contrôler les coûts

Créer des règles

  1. Dans le portail Microsoft Defender, accédez à Paramètres Règles>de>point de terminaison>Collecte de données personnalisée.

  2. Pour intégrer votre espace de travail Microsoft Sentinel, en haut à droite, sélectionnez le nom de l’espace de travail Microsoft Sentinel.

    Capture d’écran de la sélection d’un espace de travail Microsoft Sentinel.

  3. Dans la page Étendue de l’espace de travail, sélectionnez votre espace de travail.

    Capture d’écran de la sélection d’une étendue d’espace de travail Microsoft Sentinel.

    Remarque

    Vous devez sélectionner l’espace de travail à ce stade, même si vous disposez déjà d’un espace de travail Microsoft Sentinel connecté.

  4. Sélectionnez Créer une règle. Dans la section Informations générales , tapez un nom de règle et une description, puis sélectionnez Suivant.

    Capture d’écran de la création d’une règle : page Informations générales.

  5. Dans la section Créer une règle :

    1. Sélectionnez la table à partir de laquelle vous souhaitez collecter des données. Pour plus d’informations, consultez Tables d’événements prises en charge.
    2. Sélectionnez l’action pour laquelle vous souhaitez collecter des données.
    3. Ajoutez des conditions de règle pour filtrer encore davantage les données. Vous pouvez ajouter plusieurs conditions pour affiner la collection de données. Les conditions de règle sont basées sur la table sélectionnée. Pour plus d’informations, consultez le lien de table respective sous Tables d’événements prises en charge.

    Capture d’écran de la création d’une règle : page Créer une règle.

  6. Sélectionnez Suivant.

  7. Dans la section Définir l’étendue de la règle, indiquez si vous souhaitez collecter des données à partir de tous les appareils clients applicables ou d’appareils spécifiques qui incluent des balises dynamiques. Pour plus d’informations, consultez Créer des règles dynamiques pour les appareils dans la gestion des règles de ressources.

    Capture d’écran de la création d’une règle : page Définir l’étendue.

    Remarque

    La collecte de données personnalisées prend uniquement en charge les balises dynamiques.

  8. Dans la section Vérifier et terminer , passez en revue vos paramètres de règle, puis sélectionnez Envoyer.

    Capture d’écran de la création d’une règle : page Vérifier et terminer.

Le déploiement de la règle sur les appareils ciblés peut prendre jusqu’à une heure.

Surveiller et résoudre les problèmes

Après avoir déployé des règles de collecte de données personnalisées, surveillez leurs performances et résolvez les problèmes éventuels.

Vérifier le déploiement de la règle

Pour case activée si une règle collecte des données à partir d’un appareil spécifique, interrogez les tables d’événements personnalisées dans la chasse avancée :

search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents, DeviceCustomProcessEvents, DeviceCustomImageLoadEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize EventCount = count() by RuleName, RuleLastModificationTime, $table
| order by RuleLastModificationTime desc

Problèmes courants et solutions

Problème Cause possible Solution
Aucun événement collecté Règle pas encore déployée Attendez jusqu’à 1 heure pour le déploiement ; status de règle case activée dans le portail
Aucun événement collecté Appareil non ciblé correctement Vérifier que la balise dynamique est appliquée à l’appareil et que la règle d’étiquette s’est exécutée dans Gestion des règles de ressources
La collecte des événements a cessé Limite de 25 000 événements atteinte Passez en revue les conditions de règle pour les rendre plus spécifiques ; attendre la réinitialisation de la fenêtre de 24 heures
Appareils inattendus collectant des données Balise dynamique appliquée à grande échelle Passer en revue les règles de balise dans Gestion des règles de ressources ; affiner les critères de ciblage
Règle non visible sur l’appareil L’appareil ne répond pas aux exigences du système d’exploitation Vérifiez que la version du client et la version du système d’exploitation répondent à la configuration minimale requise (Windows 10/11 version 10.8805+, Windows Server 2019+)
La collection personnalisée ne s’initialise pas Les exclusions EDR peuvent empêcher la collecte Vérifiez les exclusions EDR sur les chemins ou processus cibles ; le redémarrage de l’appareil peut être nécessaire si le regroupement personnalisé n’est pas initialisé
Les balises ne sont pas mises à jour Les balises dynamiques n’ont pas été exécutées récemment Les balises dynamiques sont mises à jour environ toutes les heures, case activée Dernière exécution dans Gestion des règles de ressources

Superviser les performances des règles

  • Vérifier le volume d’événements : interroger des tables d’événements personnalisées pour voir le nombre d’événements collectés par chaque règle
  • Passer en revue les status de collecte : surveiller si les appareils approchent de la limite de 25 000 événements par règle et par jour
  • Valider le ciblage : vérifiez que les règles sont déployées sur les appareils appropriés en fonction de vos balises dynamiques

Collecter tous les événements à des fins de test

Pour collecter tous les événements d’une table spécifique (à des fins de test ou de surveillance complète) :

  1. Créer une règle avec la table souhaitée
  2. Sélectionner toutes les actions disponibles
  3. Ajoutez une condition qui est toujours vraie, par exemple :
    • Pour les événements réseau : RemotePort not equals 0
    • Pour les événements de fichier : FileName not equals ""
    • Pour les événements de processus : ProcessCommandLine not equals ""
  4. Ciblez d’abord un petit groupe pilote en raison d’un volume de données élevé

Avertissement

La collecte de tous les événements génère des volumes de données très importants et peut atteindre rapidement la limite de 25 000 événements par appareil. Utilisez la collecte complète uniquement à des fins de test ou d’investigation spécifiques sur un petit nombre d’appareils.

Gérer les règles

Modifier une règle

  1. Accédez à Paramètres Règles>>de point de terminaison>Collecte de données personnalisée
  2. Sélectionnez la règle que vous souhaitez modifier
  3. Sélectionnez Modifier.
  4. Modifier les paramètres de règle en fonction des besoins (nom, description, table, actions, conditions ou ciblage d’appareil)
  5. Sélectionnez Envoyer.

Les modifications prennent effet sur les appareils ciblés dans un délai de 20 minutes à 1 heure.

Activer ou désactiver une règle

  1. Dans Collecte de données personnalisée, sélectionnez la règle
  2. Cochez ou décochez la case Activer sous la description de la règle

Lorsque vous désactivez une règle, la collecte de données s’arrête sur tous les appareils ciblés dans le case activée de l’agent suivant (généralement dans les minutes à 1 heure).

Supprimer une règle

  1. Dans Collecte de données personnalisée, sélectionnez la règle
  2. Sélectionnez Supprimer.
  3. Confirmer la suppression

Importante

La suppression d’une règle est permanente et ne peut pas être annulée. Les données historiques dans Microsoft Sentinel restent disponibles, mais la nouvelle collection s’arrête immédiatement.

Étapes suivantes

  • Last updated on