Tworzenie niestandardowych reguł zbierania danych i zarządzanie nimi w Ochrona punktu końcowego w usłudze Microsoft Defender (wersja zapoznawcza)

  • Dotyczy: Microsoft Defender for Endpoint

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

W tym artykule pokazano, jak tworzyć niestandardowe reguły zbierania danych i zarządzać nimi w portalu Microsoft Defender.

Porada

Przed utworzeniem niestandardowych reguł zbierania danych zapoznaj się z artykułem Custom data collection (Zbieranie danych niestandardowych ), aby dowiedzieć się, kiedy i dlaczego należy używać tej funkcji.

Wymagania wstępne

Upewnij się, że masz:

Wymóg Szczegóły
Licencji Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
Microsoft Sentinel obszar roboczy Połączony obszar roboczy Microsoft Sentinel (wymagany dla niestandardowego magazynu danych)
Tagi dynamiczne Skonfigurowane w usłudze Asset Rule Management i uruchamiane co najmniej raz
Obsługiwane systemy operacyjne • Windows 10 i 11 (minimalna wersja klienta 10.8805; Windows 10 wymaga rejestracji ESU)
• Windows Server 2019 r. i nowsze

Ważna

Nawet jeśli masz połączony obszar roboczy Microsoft Sentinel, musisz wybrać obszar roboczy podczas tworzenia niestandardowych reguł zbierania danych.

Wydajność i limity

  • Każda reguła może przechwytywać do 25 000 zdarzeń na urządzenie na 24-godzinne okno stopniowe
  • Gdy urządzenie osiągnie próg, dane telemetryczne dla tej reguły zostaną zatrzymane do momentu zresetowania okna
  • Wdrażanie reguł zwykle trwa od 20 minut do 1 godziny
  • Kolekcja niestandardowa działa wraz z domyślną konfiguracją bez zakłóceń

Zagadnienia dotyczące zabezpieczeń

Przed utworzeniem reguł należy wziąć pod uwagę następujące implikacje dotyczące zabezpieczeń:

Kwestie do rozważenia Szczegóły Zalecenie
Wpływ zakresu reguł Zbyt szerokie reguły generują duże ilości danych, zwiększając koszty i utrudniając analizę Równoważenie specyfiki z pokryciem przez iterowanie i uściślanie reguł na podstawie początkowych wyników
Zbyt wąskie reguły Może przegapić ważne zdarzenia zabezpieczeń Testowanie z grupami pilotażowymi i monitorowanie pod kątem luk w zasięgu
Zagadnienia dotyczące wydajności Każde urządzenie ma limit 25 000 zdarzeń na dzień Użyj wielu reguł ukierunkowanych, a nie jednej zbyt szerokiej reguły; reguły docelowe ostrożnie do urządzeń, na których monitorowanie jest niezbędne
Strategia testowania Wdrażanie reguł bez testowania może prowadzić do nieoczekiwanych kosztów lub nieodebranych zdarzeń 1. Zacznij od małej grupy pilotażowej (5–10 urządzeń)
2. Monitorowanie ilości danych i jakości zdarzeń przez 24–48 godzin
3. Uściślij warunki na podstawie wyników
4. Stopniowo rozszerzaj do większych grup urządzeń
5. Regularnie przeglądaj metryki kosztów i wydajności

Koszty danych

  • Niestandardowe zbieranie danych jest dołączone do Ochrona punktu końcowego w usłudze Microsoft Defender P2
  • Pozyskiwanie danych do Microsoft Sentinel wiąże się z naliczaniem opłat na podstawie rozliczeń Sentinel
  • Docelowa kolekcja do określonych grup urządzeń w celu kontrolowania kosztów

Tworzenie reguł

  1. W portalu Microsoft Defender przejdź do pozycji Ustawienia>Reguły>punktów końcowych Niestandardowe>zbieranie danych.

  2. Aby dołączyć obszar roboczy Microsoft Sentinel, w prawym górnym rogu wybierz nazwę obszaru roboczego Microsoft Sentinel.

    Zrzut ekranu przedstawiający wybieranie obszaru roboczego Microsoft Sentinel.

  3. Na stronie Zakres obszaru roboczego wybierz obszar roboczy.

    Zrzut ekranu przedstawiający wybieranie zakresu obszaru roboczego Microsoft Sentinel.

    Uwaga

    Na tym etapie musisz wybrać obszar roboczy, nawet jeśli masz już połączony obszar roboczy Microsoft Sentinel.

  4. Wybierz pozycję Utwórz regułę. W sekcji Informacje ogólne wpisz nazwę i opis reguły, a następnie wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający tworzenie reguły: strona Informacje ogólne.

  5. W sekcji Tworzenie reguły :

    1. Wybierz tabelę, z której chcesz zbierać dane. Aby uzyskać więcej informacji, zobacz Obsługiwane tabele zdarzeń.
    2. Wybierz akcję, dla której chcesz zbierać dane.
    3. Dodaj warunki reguły, aby jeszcze bardziej filtrować dane. Możesz dodać wiele warunków, aby uściślić zbieranie danych. Warunki reguły są oparte na wybranej tabeli. Aby uzyskać więcej informacji, zobacz odpowiedni link do tabeli w obszarze Obsługiwane tabele zdarzeń.

    Zrzut ekranu przedstawiający tworzenie reguły: tworzenie strony reguły.

  6. Wybierz pozycję Dalej.

  7. W sekcji Definiowanie zakresu reguły wybierz, czy chcesz zbierać dane ze wszystkich odpowiednich urządzeń klienckich, czy z określonych urządzeń zawierających tagi dynamiczne. Aby uzyskać więcej informacji, zobacz Tworzenie reguł dynamicznych dla urządzeń w zarządzaniu regułami zasobów.

    Zrzut ekranu przedstawiający tworzenie reguły: Definiowanie strony zakresu.

    Uwaga

    Niestandardowe zbieranie danych obsługuje tylko tagi dynamiczne.

  8. W sekcji Przeglądanie i zakończenie przejrzyj ustawienia reguły i wybierz pozycję Prześlij.

    Zrzut ekranu przedstawiający tworzenie reguły: przejrzyj i zakończ stronę.

Wdrożenie reguły na urządzeniach docelowych może potrwać do godziny.

Monitorowanie i rozwiązywanie problemów

Po wdrożeniu niestandardowych reguł zbierania danych monitoruj ich wydajność i rozwiąż wszelkie problemy.

Weryfikowanie wdrożenia reguły

Aby sprawdzić, czy reguła zbiera dane z określonego urządzenia, wykonaj zapytanie dotyczące niestandardowych tabel zdarzeń w zaawansowanym wyszukiwaniu:

search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents, DeviceCustomProcessEvents, DeviceCustomImageLoadEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize EventCount = count() by RuleName, RuleLastModificationTime, $table
| order by RuleLastModificationTime desc

Typowe problemy i rozwiązania

Problem Możliwa przyczyna Rozwiązanie
Nie zebrano żadnych zdarzeń Reguła nie została jeszcze wdrożona Poczekaj do 1 godziny na wdrożenie; sprawdzanie stanu reguły w portalu
Nie zebrano żadnych zdarzeń Urządzenie nie jest poprawnie ukierunkowane Sprawdź, czy tag dynamiczny jest stosowany do urządzenia, a reguła tagu została uruchomiona w usłudze Asset Rule Management
Zdarzenia przestały zbierać Osiągnięto limit 25 000 zdarzeń Przejrzyj warunki reguły, aby uczynić je bardziej szczegółowymi; zaczekaj na zresetowanie okna 24-godzinnego
Nieoczekiwane urządzenia zbierające dane Tag dynamiczny zastosowany szeroko Przejrzyj reguły tagów w usłudze Asset Rule Management; uściślanie kryteriów określania wartości docelowej
Reguła nie jest widoczna na urządzeniu Urządzenie nie spełnia wymagań systemu operacyjnego Sprawdź, czy wersja klienta i wersja systemu operacyjnego spełniają minimalne wymagania (Windows 10/11 w wersji 10.8805+, Windows Server 2019+)
Kolekcja niestandardowa nie inicjuje Wykluczenia EDR mogą uniemożliwiać zbieranie Sprawdź wykluczenia EDR w ścieżkach lub procesach docelowych; ponowne uruchomienie urządzenia może być wymagane, jeśli kolekcja niestandardowa nie inicjuje
Tagi nie są aktualizowane Tagi dynamiczne nie zostały ostatnio uruchomione Tagi dynamiczne są aktualizowane mniej więcej co godzinę — sprawdź czas ostatniego uruchomienia w usłudze Asset Rule Management

Monitorowanie wydajności reguł

  • Sprawdzanie woluminu zdarzeń: wykonywanie zapytań względem niestandardowych tabel zdarzeń, aby zobaczyć, ile zdarzeń zbiera każda reguła
  • Przejrzyj stan kolekcji: monitorowanie, czy urządzenia zbliżają się do limitu 25 000 zdarzeń na dzień
  • Weryfikowanie określania wartości docelowej: upewnij się, że reguły są wdrażane na odpowiednich urządzeniach na podstawie tagów dynamicznych

Zbieranie wszystkich zdarzeń na potrzeby testowania

Aby zebrać wszystkie zdarzenia z określonej tabeli (do testowania lub kompleksowego monitorowania):

  1. Tworzenie reguły przy użyciu żądanej tabeli
  2. Wybierz wszystkie dostępne akcje
  3. Dodaj warunek, który jest zawsze prawdziwy, na przykład:
    • W przypadku zdarzeń sieciowych: RemotePort not equals 0
    • W przypadku zdarzeń pliku: FileName not equals ""
    • W przypadku zdarzeń procesu: ProcessCommandLine not equals ""
  4. Najpierw należy kierować do małej grupy pilotażowej z powodu dużej ilości danych

Ostrzeżenie

Zbieranie wszystkich zdarzeń generuje bardzo duże ilości danych i może szybko osiągnąć limit 25 000 zdarzeń na urządzenie. Kompleksowej kolekcji należy używać tylko do testowania lub określonych celów dochodzeniowych na niewielkiej liczbie urządzeń.

Zarządzanie regułami

Edytowanie reguły

  1. Przejdź do pozycji Ustawienia>Reguły>punktów końcowych>— niestandardowe zbieranie danych
  2. Wybierz regułę, którą chcesz edytować
  3. Wybierz pozycję Edytuj
  4. Modyfikowanie ustawień reguły w razie potrzeby (nazwa, opis, tabela, akcje, warunki lub określanie wartości docelowej urządzenia)
  5. Wybierz pozycję Prześlij

Zmiany wejdą w życie na urządzeniach docelowych w ciągu 20 minut do 1 godziny.

Włączanie lub wyłączanie reguły

  1. W obszarze Zbieranie danych niestandardowych wybierz regułę
  2. Zaznacz lub wyczyść pole wyboru Włącz w opisie reguły

Po wyłączeniu reguły zbieranie danych zostanie zatrzymane na wszystkich urządzeniach docelowych podczas następnego zaewidencjonowania agenta (zazwyczaj w ciągu kilku minut do 1 godziny).

Usuwanie reguły

  1. W obszarze Zbieranie danych niestandardowych wybierz regułę
  2. Wybierz pozycję Usuń
  3. Potwierdzanie usunięcia

Ważna

Usunięcie reguły jest trwałe i nie można jej cofnąć. Dane historyczne w Microsoft Sentinel pozostają dostępne, ale nowa kolekcja zostanie natychmiast zatrzymana.

Następne kroki

  • Last updated on