Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
La collecte de données personnalisée (préversion) permet aux organisations d’étendre la collecte de données de télémétrie au-delà des configurations par défaut pour prendre en charge les besoins spécialisés en matière de repérage des menaces et de surveillance de la sécurité. Cette fonctionnalité permet aux équipes de sécurité de définir des règles de collecte spécifiques avec des filtres personnalisés pour les propriétés d’événement, telles que les chemins d’accès aux dossiers, les noms de processus et les connexions réseau.
Pourquoi utiliser la collecte de données personnalisée ?
Microsoft Defender pour point de terminaison collecte des données de télémétrie étendues par défaut, mais certains scénarios de sécurité nécessitent des données spécialisées supplémentaires. Utilisez la collecte de données personnalisée lorsque vous avez besoin d’une visibilité ciblée pour la chasse aux menaces, la surveillance des applications, les preuves de conformité ou la réponse aux incidents sans le coût et le bruit de la collecte de tous les événements.
Quand utiliser la collecte de données personnalisée
| Scénario | Utiliser quand | Exemple | Valeur de sécurité |
|---|---|---|---|
| Recherche de menaces | Vous devez rechercher des modèles d’attaque spécifiques dans votre environnement | Collecter toutes les exécutions de scripts PowerShell à partir de stations de travail d’administration pour détecter les scripts malveillants | Détecter les programmes malveillants sans fichier, les scripts malveillants ou l’automatisation non autorisée sur les systèmes privilégiés |
| Surveillance des applications | Vous devez suivre les événements liés à la sécurité pour les applications personnalisées | Surveiller les modèles d’accès aux fichiers pour une application financière propriétaire | Identifier les accès non autorisés, les tentatives d’exfiltration de données ou les violations de conformité pour les applications métier |
| Preuve de conformité | Vous devez capturer des journaux d’audit détaillés requis par la réglementation | Collecter toutes les modifications de fichier dans les dossiers contenant données sensibles | Respecter les exigences réglementaires (PCI-DSS, HIPAA, RGPD) avec des pistes d’audit d’investigation détaillées |
| Réponse aux incidents | Vous devez collecter des données d’investigation pendant les enquêtes actives | Collecter temporairement toutes les connexions réseau à partir de serveurs potentiellement compromis | Capturer des preuves détaillées pour l’investigation, identifier les mouvements latéraux et soutenir les efforts de correction |
| Détection de mouvement latéral | Vous devez surveiller les indicateurs spécifiques du mouvement latéral | Suivre les connexions à distance et les événements d’authentification sur les contrôleurs de domaine | Détecter les attaquants se déplaçant entre les systèmes à l’aide d’informations d’identification volées ou d’outils d’accès à distance |
Avantages de la collecte de données personnalisée
| Avantage | Description |
|---|---|
| Visibilité ciblée | Collectez uniquement les événements dont vous avez besoin, ce qui réduit le bruit et contrôle les coûts d’ingestion des données dans Microsoft Sentinel |
| Chasse flexible | Créer des requêtes personnalisées sur des données de télémétrie spécialisées dans Microsoft Sentinel pour la chasse et l’investigation approfondies des menaces |
| Collecte de preuves | Capturer des données d’investigation détaillées pour les enquêtes, les audits de conformité et la réponse aux incidents |
| Surveillance évolutive | Cibler le regroupement vers des groupes d’appareils spécifiques à l’aide de balises dynamiques, ce qui garantit que le regroupement reste à jour à mesure que votre environnement change |
| Contrôle des coûts | Évitez de collecter des données inutiles à l’aide de filtres et de ciblage d’appareils spécifiques |
Importante
La collecte de données personnalisées nécessite un ciblage d’appareil à l’aide d’étiquettes dynamiques. Vous devez configurer des balises dynamiques dans Gestion des règles de ressources avant de créer des règles de regroupement personnalisées. Consultez Créer et gérer des étiquettes d’appareil et des appareils cibles.
Fonctionnement de la collecte de données personnalisées
La collecte de données personnalisée utilise un filtrage basé sur des règles pour capturer des événements spécifiques à partir d’appareils de point de terminaison et les acheminer vers votre espace de travail Microsoft Sentinel à des fins d’analyse et de repérage des menaces.
Processus de collecte
- Définir des règles : créer des règles de regroupement dans le portail Microsoft Defender avec des filtres d’événements spécifiques
- Appareils cibles : utilisez des balises dynamiques pour spécifier les appareils qui doivent collecter les données
- Règles de déploiement : les règles sont transmises aux points de terminaison ciblés (généralement dans un délai de 20 minutes à 1 heure)
- Collecter des événements : les points de terminaison collectent les événements correspondant à vos critères de règle avec les données de télémétrie par défaut
- Analyser les données : interroger des données d’événement personnalisées dans votre espace de travail Microsoft Sentinel
Remarque
Les règles de collecte de données personnalisées fonctionnent avec la configuration par défaut de Defender pour point de terminaison. La collection personnalisée ne remplace pas ou ne modifie pas les données de télémétrie standard, mais elle y ajoute.
Tables d’événements prises en charge
La collecte de données personnalisées prend en charge les tables d’événements suivantes. Chaque table capture différents types d’activités liées à la sécurité :
| Nom du tableau | Types d’événements | Utilisé pour |
|---|---|---|
| DeviceCustomProcessEvents | Création, arrêt et autres activités de processus | Surveillance des lancements d’exécutables, suivi des arborescences de processus, détection des processus malveillants |
| DeviceCustomImageLoadEvents | Événements de chargement de DLL et d’images | Identification de l’injection de bibliothèque malveillante, suivi des chargements de modules suspects |
| DeviceCustomFileEvents | Création, modification, suppression et accès de fichiers | Surveillance de l’accès données sensibles, suivi des indicateurs de ransomware, audit de conformité |
| DeviceCustomNetworkEvents | Événements de connexion réseau avec adresses IP, ports et protocoles | Détection des mouvements latéraux, surveillance des communications C2, suivi des connexions non autorisées |
| DeviceCustomScriptEvents | Exécution de script (PowerShell, JavaScript, etc.) | Détection des logiciels malveillants sans fichier, surveillance des scripts administratifs, identification des attaques basées sur des scripts |
Pour obtenir des informations détaillées sur le schéma, consultez Tables de schémas de chasse avancées.
Conditions préalables et conditions requises
Avant d’utiliser la collecte de données personnalisée, vérifiez que vous remplissez les conditions suivantes :
| Catégorie de conditions requises | Détails |
|---|---|
| Licences | • licence Microsoft Defender pour point de terminaison Plan 2 |
| Microsoft Sentinel espace de travail | • Espace de travail Microsoft Sentinel connecté pour le stockage et l’interrogation de données personnalisés • Doit sélectionner l’espace de travail lors de la création de règles de collecte de données personnalisées • Actuellement limité à un espace de travail Sentinel par locataire pour la collecte de données personnalisée |
| Ciblage d’appareil | • Balises dynamiques configurées dans gestion des règles de ressources • Les balises dynamiques doivent être exécutées au moins une fois avant d’être utilisées dans les règles de collection personnalisées • Les balises manuelles (statiques) ne sont pas prises en charge pour la collecte de données personnalisée |
| Systèmes d’exploitation | • Windows 10 et 11 (version cliente minimale 10.8805) - Windows 10 nécessite l’inscription au programme ESU (Extended Security Mises à jour) • Windows Server 2019 et versions ultérieures |
| Considérations relatives aux coûts | • La collecte de données personnalisées est incluse dans les licences Microsoft Defender pour point de terminaison P2 • L’ingestion de données dans Microsoft Sentinel entraîne des frais en fonction de votre arrangement de facturation Sentinel • Cibler soigneusement la collecte sur des groupes d’appareils spécifiques pour contrôler le volume et les coûts des données |
| Limites de performances | • Chaque règle peut capturer jusqu’à 25 000 événements par appareil par fenêtre propagée de 24 heures • Lorsqu’un appareil atteint le seuil, la télémétrie de cette règle spécifique s’arrête jusqu’à ce que la fenêtre se réinitialise • Plusieurs règles peuvent être actives simultanément, chacune avec sa propre limite • Le déploiement de règles prend généralement de 20 minutes à 1 heure |
Consultez Créer des règles de collecte de données personnalisées pour connaître les prérequis complets et les instructions de configuration.
Foire aux questions
| Question | Réponse |
|---|---|
| La collecte de données personnalisées affecte-t-elle la configuration par défaut de Defender pour point de terminaison ? | Non, les règles de collecte de données personnalisées fonctionnent avec la configuration par défaut de Defender pour point de terminaison sans interférence. La collection personnalisée ne remplace pas ou ne modifie pas les données de télémétrie standard, mais elle y ajoute. |
| Un espace de travail Microsoft Sentinel est-il nécessaire ? | Oui, vous avez besoin d’un espace de travail Microsoft Sentinel connecté pour créer et utiliser des règles de collecte de données personnalisées. Vous devez également sélectionner l’espace de travail lors de la création de règles. |
| Pourquoi les balises dynamiques sont-elles requises ? | Les balises dynamiques garantissent que le ciblage d’appareil reste à jour à mesure que votre environnement change. Les balises manuelles ne se mettent pas à jour automatiquement, ce qui peut entraîner un ciblage de collection obsolète. Les balises dynamiques sont également requises pour l’intégration à La gestion des règles de ressources. |
| Comment savoir si une règle est active sur un appareil ? | Interrogez la table d’événements personnalisée appropriée pour que l’appareil affiche les événements collectés. Par exemple :search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| Que se passe-t-il lorsqu’un appareil atteint la limite de 25 000 événements ? | La collecte de données de télémétrie pour cette règle spécifique s’arrête jusqu’à ce que la fenêtre propagée de 24 heures soit réinitialisée. D’autres règles sur l’appareil continuent de collecter des événements. Affinez vos conditions de règle pour les rendre plus spécifiques et réduire le volume d’événements. |
| Puis-je utiliser des étiquettes manuelles pour la collecte de données personnalisée ? | Non, seules les balises dynamiques sont prises en charge. Les balises dynamiques se mettent automatiquement à jour à mesure que les propriétés de l’appareil changent, garantissant ainsi que le ciblage des regroupements reste précis. |
| Combien de temps faut-il pour qu’une règle soit déployée sur des appareils ? | Le déploiement de règle prend généralement de 20 minutes à 1 heure. Vérifiez le déploiement en interrogeant les tables d’événements personnalisées à la recherche de données provenant d’appareils ciblés. |
Étapes suivantes
- Créer des règles de collecte de données personnalisées : instructions pas à pas pour créer et gérer des règles
- Créer et gérer des étiquettes d’appareil et des appareils cibles : configurer des balises dynamiques pour le ciblage d’appareils