Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt
Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.
Med anpassad datainsamling (förhandsversion) kan organisationer utöka telemetriinsamlingen utöver standardkonfigurationerna för att stödja specialiserade behov av hotjakt och säkerhetsövervakning. Med den här funktionen kan säkerhetsteam definiera specifika insamlingsregler med skräddarsydda filter för händelseegenskaper som mappsökvägar, processnamn och nätverksanslutningar.
Varför ska man använda anpassad datainsamling?
Microsoft Defender för Endpoint samlar in omfattande telemetri som standard, men vissa säkerhetsscenarier kräver ytterligare, specialiserade data. Använd anpassad datainsamling när du behöver riktad synlighet för hotjakt, programövervakning, efterlevnadsbevis eller incidenthantering utan kostnad och brus vid insamling av alla händelser.
När du ska använda anpassad datainsamling
| Scenario | Använd när | Exempel | Säkerhetsvärde |
|---|---|---|---|
| Hotjakt | Du måste söka efter specifika attackmönster i din miljö | Samla in alla PowerShell-skriptkörningar från administrativa arbetsstationer för att identifiera skadliga skript | Identifiera fillös skadlig kod, skadliga skript eller obehörig automatisering i privilegierade system |
| Programövervakning | Du måste spåra säkerhetsreleventiska händelser för anpassade program | Övervaka filåtkomstmönster för ett privat finansiellt program | Identifiera obehörig åtkomst, dataexfiltreringsförsök eller efterlevnadsöverträdelser för verksamhetsspecifika appar |
| Bevis för efterlevnad | Du måste samla in detaljerade granskningsloggar som krävs enligt regler | Samla in alla filändringar i mappar som innehåller känsliga data | Uppfylla regelkrav (PCI-DSS, HIPAA, GDPR) med detaljerade tekniska granskningsloggar |
| Incidentsvar | Du måste samla in kriminaltekniska data under aktiva undersökningar | Samla tillfälligt in alla nätverksanslutningar från potentiellt komprometterade servrar | Samla in detaljerade bevis för undersökning, identifiera lateral förflyttning och stödja reparationsinsatser |
| Identifiering av lateral förflyttning | Du måste övervaka specifika indikatorer för lateral förflyttning | Spåra fjärranslutningar och autentiseringshändelser mellan domänkontrollanter | Identifiera angripare som rör sig mellan system med stulna autentiseringsuppgifter eller verktyg för fjärråtkomst |
Fördelar med anpassad datainsamling
| Fördel | Beskrivning |
|---|---|
| Riktad synlighet | Samla endast in de händelser du behöver, minska bruset och kontrollera kostnaderna för datainmatning i Microsoft Sentinel |
| Flexibel jakt | Skapa anpassade frågor på specialiserad telemetri i Microsoft Sentinel för djup hotjakt och undersökning |
| Insamling av bevis | Samla in detaljerade kriminaltekniska data för undersökningar, efterlevnadsgranskningar och incidenthantering |
| Skalbar övervakning | Målsamling till specifika enhetsgrupper med dynamiska taggar, vilket säkerställer att samlingen förblir aktuell när din miljö ändras |
| Kostnadskontroll | Undvik att samla in onödiga data med hjälp av specifika filter och enhetsinriktning |
Viktigt
Anpassad datainsamling kräver enhetsinriktning med hjälp av dynamiska taggar. Du måste konfigurera dynamiska taggar i Tillgångsregelhantering innan du skapar anpassade insamlingsregler. Se Skapa och hantera enhetstaggar och målenheter.
Så här fungerar anpassad datainsamling
Anpassad datainsamling använder regelbaserad filtrering för att samla in specifika händelser från slutpunktsenheter och dirigera dem till din Microsoft Sentinel arbetsyta för analys och hotjakt.
Insamlingsprocessen
- Definiera regler: Skapa samlingsregler i Microsoft Defender-portalen med specifika händelsefilter
- Målenheter: Använd dynamiska taggar för att ange vilka enheter som ska samla in data
- Distributionsregler: Regler överförs till målslutpunkter (vanligtvis inom 20 minuter till 1 timme)
- Samla in händelser: Slutpunkter samlar in händelser som matchar dina regelkriterier tillsammans med standardtelemetri
- Analysera data: Fråga efter anpassade händelsedata på din Microsoft Sentinel-arbetsyta
Obs!
Anpassade datainsamlingsregler fungerar tillsammans med standardkonfigurationen för Defender för Endpoint. Den anpassade samlingen ersätter eller ändrar inte standardtelemetri – den läggs till i den.
Händelsetabeller som stöds
Anpassad datainsamling stöder följande händelsetabeller. Varje tabell innehåller olika typer av säkerhetsreleventa aktiviteter:
| Tabellnamn | Händelsetyper | Använd för |
|---|---|---|
| DeviceCustomProcessEvents | Processskapande, avslutning och andra processaktiviteter | Övervaka körbara uppskjutningar, spåra processträd, identifiera skadliga processer |
| DeviceCustomImageLoadEvents | DLL- och bildinläsningshändelser | Identifiera inmatning av skadligt bibliotek, spåra misstänkta modulinläsningar |
| DeviceCustomFileEvents | Skapa, ändra, ta bort och komma åt filer | Övervaka känsliga data åtkomst, spåra indikatorer för utpressningstrojaner, efterlevnadsgranskning |
| DeviceCustomNetworkEvents | Nätverksanslutningshändelser med IP-adresser, portar och protokoll | Identifiera lateral förflyttning, övervaka C2-kommunikation, spåra obehöriga anslutningar |
| DeviceCustomScriptEvents | Skriptkörning (PowerShell, JavaScript osv.) | Identifiera fillös skadlig kod, övervaka administrativa skript, identifiera skriptbaserade attacker |
Detaljerad schemainformation finns i Avancerade schematabeller för jakt.
Förutsättningar och krav
Kontrollera att du uppfyller följande krav innan du använder anpassad datainsamling:
| Kravkategori | Information |
|---|---|
| Licenser | • licens för Microsoft Defender för Endpoint plan 2 |
| Microsoft Sentinel arbetsyta | • Ansluten Microsoft Sentinel arbetsyta för anpassad datalagring och frågor • Måste välja arbetsyta när du skapar anpassade regler för datainsamling • För närvarande begränsad till en Sentinel arbetsyta per klient för anpassad datainsamling |
| Mål för enhet | • Dynamiska taggar som konfigurerats i hantering av tillgångsregler • Dynamiska taggar måste köras minst en gång innan de används i anpassade samlingsregler • Manuella (statiska) taggar stöds inte för anpassad datainsamling |
| Operativsystem | • Windows 10 och 11 (lägsta klientversion 10.8805) – Windows 10 kräver registrering i ESU-programmet (Extended Security Uppdateringar) • Windows Server 2019 och senare |
| Kostnadsöverväganden | • Anpassad datainsamling ingår i Microsoft Defender för Endpoint P2-licensiering • Datainmatning till Microsoft Sentinel medför avgifter baserat på ditt Sentinel faktureringsarrangemang • Rikta insamlingen noggrant till specifika enhetsgrupper för att kontrollera datavolym och kostnader |
| Prestandabegränsningar | • Varje regel kan samla in upp till 25 000 händelser per enhet per rullande 24-timmarsfönster • När en enhet når tröskelvärdet stoppas telemetrin för den specifika regeln tills fönstret återställs • Flera regler kan vara aktiva samtidigt, var och en med sin egen gräns • Regeldistributionen tar vanligtvis 20 minuter till 1 timme |
Se Skapa anpassade regler för datainsamling för fullständiga krav och installationsinstruktioner.
Vanliga frågor och svar
| Fråga | Svar |
|---|---|
| Påverkar anpassad datainsamling standardkonfigurationen för Defender för Endpoint? | Nej, anpassade datainsamlingsregler fungerar tillsammans med standardkonfigurationen för Defender för Endpoint utan störningar. Den anpassade samlingen ersätter eller ändrar inte standardtelemetri – den läggs till i den. |
| Krävs en Microsoft Sentinel arbetsyta? | Ja, du behöver en ansluten Microsoft Sentinel arbetsyta för att skapa och använda anpassade regler för datainsamling. Du måste också välja arbetsytan när du skapar regler. |
| Varför krävs dynamiska taggar? | Dynamiska taggar säkerställer att enhetsinriktning förblir aktuell när din miljö ändras. Manuella taggar uppdateras inte automatiskt, vilket kan resultera i inaktuell insamlingsinriktning. Dynamiska taggar krävs också för integrering med tillgångsregelhantering. |
| Hur vet jag om en regel är aktiv på en enhet? | Fråga den relevanta anpassade händelsetabellen för enheten för att se insamlade händelser. Till exempel:search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| Vad händer när en enhet når händelsegränsen på 25 000? | Telemetrisamlingen för den specifika regeln stoppas tills 24-timmars rullande fönster återställs. Andra regler på enheten fortsätter att samla in händelser. Förfina regelvillkoren för att göra dem mer specifika och minska händelsevolymen. |
| Kan jag använda manuella taggar för anpassad datainsamling? | Nej, endast dynamiska taggar stöds. Dynamiska taggar uppdateras automatiskt när enhetsegenskaperna ändras, vilket säkerställer att insamlingsanpassningen förblir korrekt. |
| Hur lång tid tar det för en regel att distribuera till enheter? | Regeldistributionen tar vanligtvis 20 minuter till 1 timme. Verifiera distributionen genom att fråga de anpassade händelsetabellerna efter data från målenheter. |
Nästa steg
- Skapa anpassade datainsamlingsregler: Stegvisa instruktioner för att skapa och hantera regler
- Skapa och hantera enhetstaggar och målenheter: Konfigurera dynamiska taggar för enhetsinriktning