Aangepaste regels voor gegevensverzameling maken en beheren in Microsoft Defender voor Eindpunt (preview)

  • Van toepassing op: Microsoft Defender for Endpoint

Belangrijk

Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

In dit artikel wordt beschreven hoe u aangepaste regels voor gegevensverzameling maakt en beheert in de Microsoft Defender-portal.

Tip

Voordat u aangepaste verzamelingsregels maakt, raadpleegt u Aangepaste gegevensverzameling om te begrijpen wanneer en waarom u deze functie gebruikt.

Vereisten

Zorg ervoor dat u beschikt over:

Vereiste Details
Licentie Plan 2 voor Microsoft Defender voor Eindpunt
Microsoft Sentinel werkruimte Verbonden Microsoft Sentinel werkruimte (vereist voor aangepaste gegevensopslag)
Dynamische tags Geconfigureerd in Asset Rule Management en ten minste één keer uitvoeren
Ondersteunde besturingssystemen • Windows 10 en 11 (minimaal clientversie 10.8805; Windows 10 vereist ESU-inschrijving)
• Windows Server 2019 en hoger

Belangrijk

Zelfs als u een verbonden Microsoft Sentinel werkruimte hebt, moet u de werkruimte selecteren bij het maken van aangepaste regels voor gegevensverzameling.

Prestaties en limieten

  • Elke regel kan maximaal 25.000 gebeurtenissen per apparaat per 24-uurs rolling window vastleggen
  • Wanneer een apparaat de drempelwaarde bereikt, stopt de telemetrie voor die regel totdat het venster opnieuw wordt ingesteld
  • Regelimplementatie duurt meestal 20 minuten tot 1 uur
  • Aangepaste verzameling werkt naast de standaardconfiguratie zonder interferentie

Beveiligingsoverwegingen

Houd rekening met deze gevolgen voor de beveiliging voordat u regels maakt:

Overweging Details Aanbeveling
Impact van regelbereik Te brede regels genereren grote gegevensvolumes, waardoor de kosten toenemen en analyse moeilijk wordt Balanceer specificiteit met dekking door regels te herhalen en te verfijnen op basis van de eerste resultaten
Te smalle regels Kan belangrijke beveiligingsevenementen missen Testen met testgroepen en controleren op hiaten in de dekking
Prestatieoverwegingen Elk apparaat heeft een limiet van 25.000 gebeurtenissen per regel per dag Gebruik meerdere gerichte regels in plaats van één te brede regel; regels zorgvuldig richten op apparaten waar bewaking essentieel is
Teststrategie Het implementeren van regels zonder testen kan leiden tot onverwachte kosten of gemiste gebeurtenissen 1. Begin met een kleine testgroep (5-10 apparaten)
2. Bewaak het gegevensvolume en de kwaliteit van de gebeurtenis gedurende 24-48 uur
3. Voorwaarden verfijnen op basis van resultaten
4. Geleidelijk uitbreiden naar grotere apparaatgroepen
5. Bekijk regelmatig metrische gegevens over kosten en prestaties

Gegevenskosten

  • Aangepaste gegevensverzameling is opgenomen in Microsoft Defender voor Eindpunt P2
  • Gegevensopname in Microsoft Sentinel brengt kosten met zich mee op basis van uw Sentinel facturering
  • Verzameling richten op specifieke apparaatgroepen om de kosten te beheersen

Regels maken

  1. Navigeer in de Microsoft Defender-portal naar Instellingen>Eindpuntregels>>Aangepaste gegevensverzameling.

  2. Als u uw Microsoft Sentinel werkruimte wilt onboarden, selecteert u rechtsboven de naam van de Microsoft Sentinel werkruimte.

    Schermopname van het selecteren van een Microsoft Sentinel werkruimte.

  3. Selecteer uw werkruimte op de pagina Werkruimtebereik .

    Schermopname van het selecteren van een Microsoft Sentinel werkruimtebereik.

    Opmerking

    U moet in deze fase de werkruimte selecteren, zelfs als u al een verbonden Microsoft Sentinel werkruimte hebt.

  4. Selecteer Regel maken. Typ in de sectie Algemene informatie een regelnaam en beschrijving en selecteer Volgende.

    Schermopname van het maken van een regel: pagina Algemene informatie.

  5. In de sectie Regel maken :

    1. Selecteer uit welke tabel u gegevens wilt verzamelen. Zie Ondersteunde gebeurtenistabellen voor meer informatie.
    2. Selecteer de actie waarvoor u gegevens wilt verzamelen.
    3. Voeg regelvoorwaarden toe om de gegevens nog verder te filteren. U kunt meerdere voorwaarden toevoegen om de gegevensverzameling te verfijnen. Regelvoorwaarden zijn gebaseerd op de geselecteerde tabel. Zie de betreffende tabelkoppeling onder Ondersteunde gebeurtenistabellen voor meer informatie.

    Schermopname van het maken van een regel: pagina Regel maken.

  6. Selecteer Volgende.

  7. Selecteer in de sectie Regelbereik definiëren of u gegevens wilt verzamelen van alle toepasselijke clientapparaten of van specifieke apparaten met dynamische tags. Zie Dynamische regels maken voor apparaten in assetregelbeheer voor meer informatie.

    Schermopname van het maken van een regel: pagina Bereik definiëren.

    Opmerking

    Aangepaste gegevensverzameling ondersteunt alleen dynamische tags.

  8. Controleer in de sectie Controleren en voltooien uw regelinstellingen en selecteer Verzenden.

    Schermopname van het maken van een regel: Pagina controleren en voltooien.

Het kan tot een uur duren voordat de regel is geïmplementeerd op de doelapparaten.

Bewaken en problemen oplossen

Nadat u aangepaste regels voor gegevensverzameling hebt geïmplementeerd, controleert u de prestaties en lost u eventuele problemen op.

Regelimplementatie controleren

Als u wilt controleren of een regel gegevens van een specifiek apparaat verzamelt, voert u een query uit op de aangepaste gebeurtenistabellen in geavanceerde opsporing:

search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents, DeviceCustomProcessEvents, DeviceCustomImageLoadEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize EventCount = count() by RuleName, RuleLastModificationTime, $table
| order by RuleLastModificationTime desc

Veelvoorkomende problemen en oplossingen

Probleem Mogelijke oorzaak Oplossing
Geen gebeurtenissen verzameld Regel nog niet geïmplementeerd Wacht maximaal 1 uur voor de implementatie; regelstatus controleren in de portal
Geen gebeurtenissen verzameld Apparaat is niet correct gericht Controleer of de dynamische tag is toegepast op het apparaat en of de tagregel is uitgevoerd in Asset Rule Management
Het verzamelen van gebeurtenissen is gestopt 25.000 gebeurtenislimiet bereikt Bekijk de voorwaarden voor regels om deze specifieker te maken; wacht tot het 24-uursvenster opnieuw is ingesteld
Onverwachte apparaten die gegevens verzamelen Dynamische tag breed toegepast Tagregels controleren in Asset Rule Management; doelcriteria verfijnen
Regel niet zichtbaar op apparaat Apparaat voldoet niet aan de vereisten van het besturingssysteem Controleer of de clientversie en de versie van het besturingssysteem voldoen aan minimale vereisten (Windows 10/11 versie 10.8805+, Windows Server 2019+)
Aangepaste verzameling wordt niet geïnitialiseerd EDR-uitsluitingen kunnen het verzamelen verhinderen Controleren op EDR-uitsluitingen op doelpaden of -processen; opnieuw opstarten van het apparaat is mogelijk vereist als de aangepaste verzameling niet wordt geïnitialiseerd
Tags worden niet bijgewerkt Dynamische tags zijn onlangs niet uitgevoerd Dynamische tags worden ongeveer elk uur bijgewerkt. Schakel De laatste uitvoeringstijd in Asset Rule Management in

Regelprestaties bewaken

  • Gebeurtenisvolume controleren: query's uitvoeren op aangepaste gebeurtenistabellen om te zien hoeveel gebeurtenissen elke regel verzamelt
  • De status van de verzameling controleren: controleer of apparaten de limiet van 25.000 gebeurtenissen per regel per dag naderen
  • Doel valideren: zorg ervoor dat regels worden geïmplementeerd op de juiste apparaten op basis van uw dynamische tags

Alle gebeurtenissen verzamelen om te testen

Alle gebeurtenissen uit een specifieke tabel verzamelen (voor testen of uitgebreide bewaking):

  1. Een regel maken met de gewenste tabel
  2. Alle beschikbare acties selecteren
  3. Voeg een voorwaarde toe die altijd waar is, zoals:
    • Voor netwerkevenementen: RemotePort not equals 0
    • Voor bestandsevenementen: FileName not equals ""
    • Voor proces gebeurtenissen: ProcessCommandLine not equals ""
  4. Richt u eerst op een kleine testgroep vanwege een hoog gegevensvolume

Waarschuwing

Het verzamelen van alle gebeurtenissen genereert zeer grote gegevensvolumes en kan snel de limiet van 25.000 gebeurtenissen per apparaat bereiken. Gebruik uitgebreide verzameling alleen voor test- of specifieke onderzoeksdoeleinden op een klein aantal apparaten.

Regels beheren

Een regel bewerken

  1. Navigeer naar Instellingen>Eindpuntregels>>Aangepaste gegevensverzameling
  2. Selecteer de regel die u wilt bewerken
  3. Bewerken selecteren
  4. Regelinstellingen zo nodig wijzigen (naam, beschrijving, tabel, acties, voorwaarden of apparaattargeting)
  5. Selecteer Verzenden

Wijzigingen worden binnen 20 minuten tot 1 uur van kracht op doelapparaten.

Een regel in- of uitschakelen

  1. Selecteer in Aangepaste gegevensverzameling de regel
  2. Schakel het selectievakje Inschakelen onder de regelbeschrijving in of uit

Wanneer u een regel uitschakelt, stopt het verzamelen van gegevens op alle doelapparaten tijdens de volgende agent-check-in (meestal binnen enkele minuten tot 1 uur).

Een regel verwijderen

  1. Selecteer in Aangepaste gegevensverzameling de regel
  2. Selecteer Verwijderen
  3. Verwijdering bevestigen

Belangrijk

Het verwijderen van een regel is permanent en kan niet ongedaan worden gemaakt. Historische gegevens in Microsoft Sentinel blijven beschikbaar, maar nieuwe verzameling stopt onmiddellijk.

Volgende stappen

  • Last updated on