Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.
Met aangepaste gegevensverzameling (preview) kunnen organisaties telemetrieverzameling uitbreiden buiten de standaardconfiguraties om ondersteuning te bieden voor gespecialiseerde behoeften voor het opsporen van bedreigingen en beveiligingsbewaking. Met deze functie kunnen beveiligingsteams specifieke verzamelingsregels definiëren met op maat gemaakte filters voor gebeurteniseigenschappen, zoals mappaden, procesnamen en netwerkverbindingen.
Waarom aangepaste gegevensverzameling gebruiken?
Microsoft Defender voor Eindpunt verzamelt standaard uitgebreide telemetrie, maar voor sommige beveiligingsscenario's zijn aanvullende, gespecialiseerde gegevens vereist. Gebruik aangepaste gegevensverzameling wanneer u gerichte zichtbaarheid nodig hebt voor het opsporen van bedreigingen, toepassingsbewaking, nalevingsbewijs of incidentrespons zonder de kosten en ruis van het verzamelen van alle gebeurtenissen.
Wanneer gebruikt u aangepaste gegevensverzameling?
| Scenario | Gebruiken wanneer | Voorbeeld | Beveiligingswaarde |
|---|---|---|---|
| Opsporten van bedreigingen | U moet zoeken naar specifieke aanvalspatronen in uw omgeving | Verzamel alle PowerShell-scriptuitvoeringen van werkstations met beheerdersrechten om schadelijke scripts te detecteren | Detecteer bestandsloze malware, schadelijke scripts of niet-geautoriseerde automatisering op bevoegde systemen |
| Toepassingsbewaking | U moet beveiligingsrelevingsgebeurtenissen bijhouden voor aangepaste toepassingen | Bestandstoegangspatronen bewaken voor een eigen financiële toepassing | Onbevoegde toegang, pogingen tot gegevensexfiltratie of nalevingsschendingen voor Line-Of-Business-apps identificeren |
| Nalevingsbewijs | U moet gedetailleerde auditlogboeken vastleggen die zijn vereist door regelgeving | Alle bestandswijzigingen verzamelen in mappen die gevoelige gegevens | Voldoen aan wettelijke vereisten (PCI-DSS, HIPAA, AVG) met gedetailleerde forensische audittrails |
| Reactie op incident | U moet forensische gegevens verzamelen tijdens actieve onderzoeken | Verzamel tijdelijk alle netwerkverbindingen van mogelijk gecompromitteerde servers | Gedetailleerd bewijs vastleggen voor onderzoek, laterale verplaatsing identificeren en herstelinspanningen ondersteunen |
| Detectie van laterale bewegingen | U moet controleren op specifieke indicatoren van laterale beweging | Externe verbindingen en verificatie-gebeurtenissen tussen domeincontrollers bijhouden | Detecteer aanvallers die zich verplaatsen tussen systemen met behulp van gestolen referenties of hulpprogramma's voor externe toegang |
Voordelen van aangepaste gegevensverzameling
| Voordeel | Beschrijving |
|---|---|
| Gerichte zichtbaarheid | Verzamel alleen de gebeurtenissen die u nodig hebt, verminder ruis en beheer de kosten voor gegevensopname in Microsoft Sentinel |
| Flexibele opsporing | Aangepaste query's bouwen voor gespecialiseerde telemetrie in Microsoft Sentinel voor diepgaande opsporing en onderzoek van bedreigingen |
| Bewijsverzameling | Gedetailleerde forensische gegevens vastleggen voor onderzoeken, nalevingscontroles en reactie op incidenten |
| Schaalbare bewaking | Verzameling richten op specifieke apparaatgroepen met behulp van dynamische tags, zodat de verzameling actueel blijft wanneer uw omgeving verandert |
| Kostenbeheer | Vermijd het verzamelen van onnodige gegevens met behulp van specifieke filters en apparaattargeting |
Belangrijk
Voor het verzamelen van aangepaste gegevens is apparaattargeting met behulp van dynamische tags vereist. U moet dynamische tags configureren in Asset Rule Management voordat u aangepaste verzamelingsregels maakt. Zie Apparaattags en doelapparaten maken en beheren.
Hoe aangepaste gegevensverzameling werkt
Aangepaste gegevensverzameling maakt gebruik van filteren op basis van regels om specifieke gebeurtenissen van eindpuntapparaten vast te leggen en deze naar uw Microsoft Sentinel werkruimte te routeren voor analyse en opsporing van bedreigingen.
Het verzamelingsproces
- Regels definiëren: verzamelingsregels maken in de Microsoft Defender-portal met specifieke gebeurtenisfilters
- Doelapparaten: dynamische tags gebruiken om op te geven welke apparaten de gegevens moeten verzamelen
- Regels implementeren: regels worden verzonden naar doeleindpunten (meestal binnen 20 minuten tot 1 uur)
- Gebeurtenissen verzamelen: eindpunten verzamelen gebeurtenissen die overeenkomen met uw regelcriteria naast standaardtelemetrie
- Gegevens analyseren: query's uitvoeren op aangepaste gebeurtenisgegevens in uw Microsoft Sentinel werkruimte
Opmerking
Aangepaste regels voor gegevensverzameling werken samen met de standaardconfiguratie van Defender voor Eindpunt. De aangepaste verzameling vervangt of wijzigt standaardtelemetrie niet, maar voegt hieraan toe.
Ondersteunde gebeurtenistabellen
Aangepaste gegevensverzameling ondersteunt de volgende gebeurtenistabellen. Elke tabel legt verschillende typen beveiligingsgerelateerde activiteiten vast:
| Tabelnaam | Gebeurtenistypen | Gebruiken voor |
|---|---|---|
| DeviceCustomProcessEvents | Procesactiviteiten maken, beëindigen en andere procesactiviteiten | Uitvoerbare lanceringen bewaken, processtructuren bijhouden, schadelijke processen detecteren |
| DeviceCustomImageLoadEvents | DLL- en installatiekopieën laden gebeurtenissen | Schadelijke bibliotheekinjectie identificeren, verdachte moduleladingen bijhouden |
| DeviceCustomFileEvents | Bestanden maken, wijzigen, verwijderen en openen | Toegang gevoelige gegevens bewaken, ransomware-indicatoren bijhouden, nalevingscontrole |
| DeviceCustomNetworkEvents | Netwerkverbindingsevenementen met IP-adressen, poorten en protocollen | Laterale bewegingen detecteren, C2-communicatie bewaken, niet-geautoriseerde verbindingen bijhouden |
| DeviceCustomScriptEvents | Scriptuitvoering (PowerShell, JavaScript, enzovoort) | Malware zonder bestanden detecteren, beheerscripts bewaken, aanvallen op basis van scripts identificeren |
Zie Geavanceerde schematabellen voor opsporing voor gedetailleerde schema-informatie.
Vereisten en vereisten
Voordat u aangepaste gegevensverzameling gebruikt, moet u voldoen aan de volgende vereisten:
| Vereistecategorie | Details |
|---|---|
| Licenties | • Microsoft Defender voor Eindpunt Abonnement 2-licentie |
| Microsoft Sentinel werkruimte | • Verbonden Microsoft Sentinel werkruimte voor aangepaste gegevensopslag en query's • Moet werkruimte selecteren bij het maken van aangepaste regels voor gegevensverzameling • Momenteel beperkt tot één Sentinel werkruimte per tenant voor aangepaste gegevensverzameling |
| Apparaattargeting | • Dynamische tags geconfigureerd in Asset Rule Management • Dynamische tags moeten ten minste eenmaal worden uitgevoerd voor gebruik in aangepaste verzamelingsregels • Handmatige (statische) tags worden niet ondersteund voor aangepaste gegevensverzameling |
| Besturingssystemen | • Windows 10 en 11 (minimaal clientversie 10.8805) - Windows 10 vereist inschrijving in het ESU-programma (Extended Security Updates) • Windows Server 2019 en hoger |
| Kostenoverwegingen | • Aangepaste gegevensverzameling is inbegrepen bij Microsoft Defender voor Eindpunt P2-licentie • Gegevensopname in Microsoft Sentinel brengt kosten met zich mee op basis van uw Sentinel factureringsregeling • Richt de verzameling zorgvuldig op specifieke apparaatgroepen om het gegevensvolume en de kosten te beheren |
| Prestatielimieten | • Elke regel kan maximaal 25.000 gebeurtenissen per apparaat per 24-uurs rolling window vastleggen • Wanneer een apparaat de drempelwaarde bereikt, stopt de telemetrie voor die specifieke regel totdat het venster opnieuw wordt ingesteld • Meerdere regels kunnen tegelijkertijd actief zijn, elk met een eigen limiet • Regelimplementatie duurt doorgaans 20 minuten tot 1 uur |
Zie Aangepaste regels voor gegevensverzameling maken voor volledige vereisten en installatie-instructies.
Veelgestelde vragen
| Vraag | Antwoord |
|---|---|
| Is het verzamelen van aangepaste gegevens van invloed op de standaardconfiguratie van Defender voor Eindpunt? | Nee, aangepaste regels voor gegevensverzameling werken samen met de standaardconfiguratie van Defender voor Eindpunt zonder interferentie. De aangepaste verzameling vervangt of wijzigt standaardtelemetrie niet, maar voegt hieraan toe. |
| Is een Microsoft Sentinel werkruimte vereist? | Ja, u hebt een verbonden Microsoft Sentinel werkruimte nodig om aangepaste regels voor gegevensverzameling te maken en te gebruiken. U moet ook de werkruimte selecteren bij het maken van regels. |
| Waarom zijn dynamische tags vereist? | Dynamische tags zorgen ervoor dat de apparaattargeting actueel blijft wanneer uw omgeving verandert. Handmatige tags worden niet automatisch bijgewerkt, wat kan leiden tot verouderde verzamelingstargeting. Dynamische tags zijn ook vereist voor integratie met Asset Rule Management. |
| Hoe weet ik of een regel actief is op een apparaat? | Voer een query uit op de relevante aangepaste gebeurtenistabel voor het apparaat om verzamelde gebeurtenissen weer te geven. Bijvoorbeeld:search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| Wat gebeurt er wanneer een apparaat de limiet van 25.000 gebeurtenissen bereikt? | De telemetrieverzameling voor die specifieke regel stopt totdat het 24-uurs doorlopende venster opnieuw wordt ingesteld. Andere regels op het apparaat blijven gebeurtenissen verzamelen. Verfijn uw regelvoorwaarden om ze specifieker te maken en het gebeurtenisvolume te verminderen. |
| Kan ik handmatige tags gebruiken voor het verzamelen van aangepaste gegevens? | Nee, alleen dynamische tags worden ondersteund. Dynamische tags worden automatisch bijgewerkt wanneer de eigenschappen van het apparaat veranderen, zodat het doel van de verzameling nauwkeurig blijft. |
| Hoe lang duurt het voordat een regel op apparaten wordt geïmplementeerd? | Regelimplementatie duurt doorgaans 20 minuten tot 1 uur. Controleer de implementatie door een query uit te voeren op de aangepaste gebeurtenistabellen voor gegevens van doelapparaten. |
Volgende stappen
- Aangepaste regels voor gegevensverzameling maken: stapsgewijze instructies voor het maken en beheren van regels
- Apparaattags en doelapparaten maken en beheren: dynamische tags configureren voor apparaattargeting