Skapa och hantera anpassade regler för datainsamling i Microsoft Defender för Endpoint (förhandsversion)

  • Gäller för: Microsoft Defender for Endpoint

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Den här artikeln visar hur du skapar och hanterar anpassade datainsamlingsregler i Microsoft Defender-portalen.

Tips

Innan du skapar anpassade insamlingsregler läser du Anpassad datainsamling för att förstå när och varför du ska använda den här funktionen.

Förhandskrav

Kontrollera att du har:

Krav Information
Licens Microsoft Defender för Endpoint Abonnemang 2
Microsoft Sentinel arbetsyta Ansluten Microsoft Sentinel arbetsyta (krävs för anpassad datalagring)
Dynamiska taggar Konfigurerad i Tillgångsregelhantering och körs minst en gång
Operativsystem som stöds • Windows 10 och 11 (lägsta klientversion 10.8805; Windows 10 kräver ESU-registrering)
• Windows Server 2019 och senare

Viktigt

Även om du har en ansluten Microsoft Sentinel arbetsyta måste du välja arbetsytan när du skapar anpassade regler för datainsamling.

Prestanda och begränsningar

  • Varje regel kan samla in upp till 25 000 händelser per enhet per rullande 24-timmarsfönster
  • När en enhet når tröskelvärdet stoppas telemetrin för regeln tills fönstret återställs
  • Regeldistributionen tar vanligtvis 20 minuter till 1 timme
  • Anpassad samling fungerar tillsammans med standardkonfigurationen utan interferens

Säkerhetshänsyn

Tänk på dessa säkerhetskonsekvenser innan du skapar regler:

Att tänka på Information Rekommendation
Påverkan på regelomfång Alltför breda regler genererar stora datavolymer, ökar kostnaderna och gör det svårt att analysera Balansera specificitet med täckning genom att iterera och förfina regler baserat på inledande resultat
För smala regler Kan missa viktiga säkerhetshändelser Testa med pilotgrupper och övervaka luckor i täckningen
Prestandaöverväganden Varje enhet har en gräns på 25 000 händelser per regel och dag Använd flera fokuserade regler i stället för en alltför bred regel. målregler noggrant för enheter där övervakning är viktigt
Teststrategi Distribution av regler utan testning kan leda till oväntade kostnader eller missade händelser 1. Börja med en liten pilotgrupp (5–10 enheter)
2. Övervaka datavolym och händelsekvalitet i 24–48 timmar
3. Förfina villkor baserat på resultat
4. Expandera gradvis till större enhetsgrupper
5. Granska kostnads- och prestandamått regelbundet

Datakostnader

  • Anpassad datainsamling ingår i Microsoft Defender för Endpoint P2
  • Datainmatning till Microsoft Sentinel medför avgifter baserat på din Sentinel fakturering
  • Rikta insamling till specifika enhetsgrupper för att kontrollera kostnader

Skapa regler

  1. I Microsoft Defender-portalen går du till Inställningar>Slutpunkter>Regler>Anpassad datainsamling.

  2. Om du vill publicera Microsoft Sentinel arbetsyta väljer du namnet på den Microsoft Sentinel arbetsytan längst upp till höger.

    Skärmbild av att välja en Microsoft Sentinel arbetsyta.

  3. På sidan Omfång för arbetsyta väljer du din arbetsyta.

    Skärmbild av att välja ett Microsoft Sentinel arbetsyteomfång.

    Obs!

    Du måste välja arbetsytan i det här skedet, även om du redan har en ansluten Microsoft Sentinel arbetsyta.

  4. Välj Skapa regel. I avsnittet Allmän information skriver du ett regelnamn och en beskrivning och väljer Nästa.

    Skärmbild av att skapa en regel: sidan Allmän information.

  5. I avsnittet Skapa regel :

    1. Välj vilken tabell du vill samla in data från. Mer information finns i Händelsetabeller som stöds.
    2. Välj den åtgärd som du vill samla in data för.
    3. Lägg till regelvillkor för att filtrera data ytterligare. Du kan lägga till flera villkor för att förfina datainsamlingen. Regelvillkor baseras på den valda tabellen. Mer information finns i respektive tabelllänk under Händelsetabeller som stöds.

    Skärmbild av att skapa en regel: Sidan Skapa regel.

  6. Välj Nästa.

  7. I avsnittet Definiera regelomfång väljer du om du vill samla in data från alla tillämpliga klientenheter eller från specifika enheter som innehåller dynamiska taggar. Mer information finns i Skapa dynamiska regler för enheter i hantering av tillgångsregler.

    Skärmbild av att skapa en regel: Definiera omfångssida.

    Obs!

    Anpassad datainsamling stöder endast dynamiska taggar.

  8. I avsnittet Granska och slutför granskar du dina regelinställningar och väljer Skicka.

    Skärmbild av att skapa en regel: Gransknings- och slutsida.

Det kan ta upp till en timme innan regeln distribueras till målenheterna.

Övervaka och felsöka

När du har distribuerat anpassade regler för datainsamling övervakar du deras prestanda och felsöker eventuella problem.

Verifiera regeldistribution

Om du vill kontrollera om en regel samlar in data från en specifik enhet frågar du de anpassade händelsetabellerna i avancerad jakt:

search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents, DeviceCustomProcessEvents, DeviceCustomImageLoadEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize EventCount = count() by RuleName, RuleLastModificationTime, $table
| order by RuleLastModificationTime desc

Vanliga problem och lösningar

Fråga Möjlig orsak Lösning
Inga händelser samlades in Regeln har ännu inte distribuerats Vänta upp till 1 timme på distributionen. kontrollera regelstatus i portalen
Inga händelser samlades in Enheten är inte korrekt riktad Kontrollera att dynamisk tagg tillämpas på enheten och taggregeln har körts i Hantering av tillgångsregel
Händelser slutade samla in Händelsegränsen på 25 000 har nåtts Granska regelvillkoren för att göra dem mer specifika. vänta tills 24-timmarsfönstret har återställts
Oväntade enheter som samlar in data Dynamisk tagg tillämpas brett Granska taggregler i Tillgångsregelhantering; förfina målkriterier
Regeln visas inte på enheten Enheten uppfyller inte os-kraven Kontrollera att klientversionen och operativsystemversionen uppfyller minimikraven (Windows 10/11 version 10.8805+, Windows Server 2019+)
Anpassad samling initieras inte EDR-undantag kan förhindra insamling Sök efter EDR-undantag på målsökvägar eller processer; omstarter av enheten kan krävas om den anpassade samlingen inte initieras
Taggar uppdateras inte Dynamiska taggar har inte körts nyligen Dynamiska taggar uppdateras ungefär varje timme – kontrollera senaste körningstid i Tillgångsregelhantering

Övervaka regelprestanda

  • Kontrollera händelsevolym: Fråga anpassade händelsetabeller för att se hur många händelser varje regel samlar in
  • Granska insamlingsstatus: Övervaka om enheter närmar sig gränsen på 25 000 händelser per regel och dag
  • Verifiera mål: Se till att reglerna distribueras till rätt enheter baserat på dina dynamiska taggar

Samla in alla händelser för testning

Samla in alla händelser från en specifik tabell (för testning eller omfattande övervakning):

  1. Skapa en regel med önskad tabell
  2. Markera alla tillgängliga åtgärder
  3. Lägg till ett villkor som alltid är sant, till exempel:
    • För nätverkshändelser: RemotePort not equals 0
    • För filhändelser: FileName not equals ""
    • För processhändelser: ProcessCommandLine not equals ""
  4. Rikta in dig på en liten pilotgrupp först på grund av hög datavolym

Varning

Insamling av alla händelser genererar mycket stora datavolymer och kan snabbt nå gränsen på 25 000 händelser per enhet. Använd endast omfattande samling för testning eller specifika undersökningsändamål på ett litet antal enheter.

Hantera regler

Redigera en regel

  1. Gå till Inställningar>Slutpunkter>Regler>anpassad datainsamling
  2. Välj den regel som du vill redigera
  3. Välj Redigera
  4. Ändra regelinställningar efter behov (namn, beskrivning, tabell, åtgärder, villkor eller enhetsinriktning)
  5. Välj Skicka

Ändringarna börjar gälla för målenheter inom 20 minuter till 1 timme.

Aktivera eller inaktivera en regel

  1. I Anpassad datainsamling väljer du regeln
  2. Markera eller avmarkera kryssrutan Aktivera under regelbeskrivningen

När du inaktiverar en regel stoppas datainsamlingen på alla målenheter inom nästa agentincheckning (vanligtvis inom några minuter till 1 timme).

Ta bort en regel

  1. I Anpassad datainsamling väljer du regeln
  2. Välj Ta bort
  3. Bekräfta borttagning

Viktigt

Att ta bort en regel är permanent och kan inte ångras. Historiska data i Microsoft Sentinel förblir tillgängliga, men den nya samlingen stoppas omedelbart.

Nästa steg

  • Last updated on