Creare e gestire regole di raccolta dati personalizzate in Microsoft Defender per endpoint (anteprima)

  • Si applica a: Microsoft Defender for Endpoint

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Questo articolo illustra come creare e gestire regole di raccolta dati personalizzate nel portale di Microsoft Defender.

Consiglio

Prima di creare regole di raccolta personalizzate, esaminare Raccolta dati personalizzata per comprendere quando e perché usare questa funzionalità.

Prerequisiti

Assicurarsi di avere:

Requisito Dettagli
License Microsoft Defender per endpoint piano 2
Microsoft Sentinel'area di lavoro Area di lavoro Microsoft Sentinel connessa (necessaria per l'archiviazione e l'esecuzione di query sui dati personalizzati); attualmente limitata a un'area di lavoro Sentinel per ogni tenant per la raccolta dati personalizzata
Tag dinamici Configurato in Asset Rule Management ed eseguito almeno una volta; I tag manuali (statici) non sono supportati
Sistemi operativi supportati • Windows 10 e 11 (versione client minima 10.8805; Windows 10 richiede la registrazione ESU)
• Windows Server 2019 e versioni successive
Considerazioni di costo La raccolta di dati personalizzata è inclusa in Defender per endpoint Piano 2; l'inserimento di dati in Microsoft Sentinel comporta addebiti in base alla fatturazione Sentinel

Importante

Anche se si dispone di un'area di lavoro Microsoft Sentinel connessa, è necessario selezionare l'area di lavoro durante la creazione di regole di raccolta dati personalizzate.

Prestazioni e limiti

  • Ogni regola può acquisire fino a 75.000 eventi per dispositivo per ogni finestra in sequenza di 24 ore
  • Quando un dispositivo raggiunge la soglia, i dati di telemetria per tale regola si arrestano fino a quando la finestra non viene reimpostata
  • La distribuzione delle regole richiede in genere da 20 minuti a 1 ora
  • La raccolta personalizzata opera insieme alla configurazione predefinita senza interferenze

Considerazioni sulla sicurezza

Considerare queste implicazioni per la sicurezza prima di creare regole:

Considerazione Dettagli Consiglio
Impatto sull'ambito della regola Regole troppo ampie generano volumi di dati elevati, aumentando i costi e rendendo difficile l'analisi Bilanciare la specificità con la copertura iterando e affinando le regole in base ai risultati iniziali
Regole troppo strette Potrebbe mancare eventi di sicurezza importanti Testare con gruppi pilota e monitorare le lacune nella copertura
Considerazioni sulle prestazioni Ogni dispositivo ha un limite di 75.000 eventi per regola al giorno Usare più regole incentrate anziché una regola eccessivamente ampia; regole di destinazione con attenzione ai dispositivi in cui il monitoraggio è essenziale
Strategia di test La distribuzione di regole senza test può comportare costi imprevisti o eventi mancanti 1. Iniziare con un piccolo gruppo pilota (5-10 dispositivi)
2. Monitorare il volume dei dati e la qualità degli eventi per 24-48 ore
3. Perfezionare le condizioni in base ai risultati
4. Espandere gradualmente a gruppi di dispositivi più grandi
5. Esaminare regolarmente le metriche relative a costi e prestazioni

Creare regole

  1. Nel portale di Microsoft Defender passare a Impostazioni> Raccoltadati personalizzataregole>endpoint>.

  2. Per eseguire l'onboarding dell'area di lavoro Microsoft Sentinel, in alto a destra selezionare il nome dell'area di lavoro Microsoft Sentinel.

    Screenshot della selezione di un'area di lavoro Microsoft Sentinel.

  3. Nella pagina Ambito area di lavoro selezionare l'area di lavoro.

    Screenshot della selezione di un ambito dell'area di lavoro Microsoft Sentinel.

    Nota

    È necessario selezionare l'area di lavoro in questa fase, anche se si dispone già di un'area di lavoro Microsoft Sentinel connessa.

  4. Selezionare Crea regola. Nella sezione Informazioni generali digitare il nome e la descrizione di una regola e selezionare Avanti.

    Screenshot della creazione di una regola: pagina Informazioni generali.

  5. Nella sezione Crea regola :

    1. Selezionare la tabella da cui raccogliere i dati. Per altre informazioni, vedere Tabelle degli eventi supportate.
    2. Selezionare l'azione per cui si desidera raccogliere i dati.
    3. Aggiungere le condizioni delle regole per filtrare ulteriormente i dati. È possibile aggiungere più condizioni per perfezionare la raccolta dati. Le condizioni delle regole si basano sulla tabella selezionata. Per altre informazioni, vedere il collegamento alla tabella corrispondente in Tabelle eventi supportate.

    Screenshot della creazione di una regola: pagina Crea regola.

  6. Seleziona Avanti.

  7. Nella sezione Definisci ambito regola selezionare se si vogliono raccogliere dati da tutti i dispositivi client applicabili o da dispositivi specifici che includono tag dinamici. Per altre informazioni, vedere Creare regole dinamiche per i dispositivi nella gestione delle regole degli asset.

    Screenshot della creazione di una regola: pagina Definisci ambito.

    Nota

    La raccolta dati personalizzata supporta solo i tag dinamici.

  8. Nella sezione Rivedi e termina esaminare le impostazioni delle regole e selezionare Invia.

    Screenshot della creazione di una regola: pagina Revisione e fine.

La distribuzione della regola nei dispositivi di destinazione può richiedere fino a un'ora.

Monitorare e risolvere i problemi

Dopo aver distribuito regole di raccolta dati personalizzate, monitorarne le prestazioni e risolvere eventuali problemi.

Verificare la distribuzione delle regole

Per verificare se una regola raccoglie dati da un dispositivo specifico, eseguire query sulle tabelle eventi personalizzate nella ricerca avanzata:

search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents, DeviceCustomProcessEvents, DeviceCustomImageLoadEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize EventCount = count() by RuleName, RuleLastModificationTime, $table
| order by RuleLastModificationTime desc

Problemi e soluzioni comuni

Problema Possibile causa Soluzione
Nessun evento raccolto Regola non ancora distribuita Attendere fino a 1 ora per la distribuzione; Controllare lo stato della regola nel portale
Nessun evento raccolto Dispositivo non destinato correttamente Verificare che il tag dinamico sia applicato al dispositivo e che la regola tag sia stata eseguita in Gestione regole asset
Gli eventi hanno smesso di raccogliere Raggiunto il limite di 75.000 eventi Esaminare le condizioni delle regole per renderle più specifiche; attendere la reimpostazione della finestra di 24 ore
Dispositivi imprevisti che raccolgono dati Tag dinamico applicato su larga scala Esaminare le regole dei tag in Gestione regole asset; perfezionare i criteri di destinazione
Regola non visibile nel dispositivo Il dispositivo non soddisfa i requisiti del sistema operativo Verificare che la versione client e la versione del sistema operativo soddisfino i requisiti minimi (Windows 10/11 versione 10.8805+, Windows Server 2019+)
Raccolta personalizzata non inizializzazione Le esclusioni EDR possono impedire la raccolta Verificare la presenza di esclusioni EDR nei percorsi o nei processi di destinazione; potrebbe essere necessario riavviare il dispositivo se la raccolta personalizzata non è in fase di inizializzazione
Tag non aggiornati I tag dinamici non sono stati eseguiti di recente Aggiornamento dei tag dinamici circa ogni ora: controllare l'ultima esecuzione in Gestione regole asset

Monitorare le prestazioni delle regole

  • Controllare il volume degli eventi: eseguire query sulle tabelle eventi personalizzate per visualizzare il numero di eventi raccolti da ogni regola
  • Esaminare lo stato della raccolta: monitorare se i dispositivi si avvicinano al limite di 75.000 eventi per regola al giorno
  • Convalidare la destinazione: verificare che le regole vengano distribuite nei dispositivi corretti in base ai tag dinamici

Raccogliere tutti gli eventi per il test

Per raccogliere tutti gli eventi da una tabella specifica (per il test o il monitoraggio completo):

  1. Creare una regola con la tabella desiderata
  2. Selezionare tutte le azioni disponibili
  3. Aggiungere una condizione sempre vera, ad esempio:
    • Per gli eventi di rete: RemotePort not equals 0
    • Per gli eventi di file: FileName not equals ""
    • Per gli eventi di processo: ProcessCommandLine not equals ""
  4. Indirizzare prima a un piccolo gruppo pilota a causa di un volume di dati elevato

Avviso

La raccolta di tutti gli eventi genera volumi di dati molto grandi e può raggiungere rapidamente il limite di 75.000 eventi per dispositivo. Usare la raccolta completa solo per test o scopi investigativi specifici in un numero ridotto di dispositivi.

Gestire le regole

Modificare una regola

  1. Passare a Impostazioni>- Regole>endpoint>- Raccolta dati personalizzata
  2. Selezionare la regola da modificare
  3. Selezionare Modifica
  4. Modificare le impostazioni delle regole in base alle esigenze (nome, descrizione, tabella, azioni, condizioni o destinazione del dispositivo)
  5. Selezionare Invia

Le modifiche hanno effetto sui dispositivi di destinazione entro 20 minuti a 1 ora.

Abilitare o disabilitare una regola

  1. In Raccolta dati personalizzata selezionare la regola
  2. Selezionare o deselezionare la casella di controllo Abilita nella descrizione della regola

Quando si disabilita una regola, la raccolta dati viene arrestata in tutti i dispositivi di destinazione all'interno dell'archiviazione successiva dell'agente (in genere entro minuti a 1 ora).

Eliminare una regola

  1. In Raccolta dati personalizzata selezionare la regola
  2. Selezionare Elimina
  3. Confermare l'eliminazione

Importante

L'eliminazione di una regola è permanente e non può essere annullata. I dati cronologici in Microsoft Sentinel rimangono disponibili, ma la nuova raccolta si interrompe immediatamente.

Passaggi successivi

  • Last updated on