Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważna
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.
Zbieranie danych niestandardowych (wersja zapoznawcza) umożliwia organizacjom rozszerzanie zbierania danych telemetrycznych poza konfiguracje domyślne w celu obsługi wyspecjalizowanych potrzeb związanych z wyszukiwaniem zagrożeń i monitorowaniem zabezpieczeń. Ta funkcja umożliwia zespołom zabezpieczeń definiowanie określonych reguł zbierania przy użyciu filtrów dostosowanych do właściwości zdarzeń, takich jak ścieżki folderów, nazwy procesów i połączenia sieciowe.
Dlaczego warto używać niestandardowego zbierania danych?
Ochrona punktu końcowego w usłudze Microsoft Defender domyślnie zbiera obszerne dane telemetryczne, ale niektóre scenariusze zabezpieczeń wymagają dodatkowych, wyspecjalizowanych danych. Używaj niestandardowego zbierania danych, gdy potrzebujesz ukierunkowanej widoczności na potrzeby wyszukiwania zagrożeń, monitorowania aplikacji, dowodów zgodności lub reagowania na zdarzenia bez ponoszonych kosztów i szumów związanych z zbieraniem wszystkich zdarzeń.
Kiedy używać niestandardowego zbierania danych
| Scenariusz | Użyj, gdy | Przykład | Wartość zabezpieczeń |
|---|---|---|---|
| Wyszukiwanie zagrożeń | Musisz wyszukać określone wzorce ataków w całym środowisku | Zbieranie wszystkich wykonań skryptów programu PowerShell z administracyjnych stacji roboczych w celu wykrycia złośliwych skryptów | Wykrywanie złośliwego oprogramowania bez plików, złośliwych skryptów lub nieautoryzowanej automatyzacji w systemach uprzywilejowanych |
| Monitorowanie aplikacji | Należy śledzić zdarzenia związane z zabezpieczeniami dla aplikacji niestandardowych | Monitorowanie wzorców dostępu do plików dla zastrzeżonej aplikacji finansowej | Identyfikowanie nieautoryzowanego dostępu, prób eksfiltracji danych lub naruszeń zgodności dla aplikacji biznesowych |
| Dowody zgodności | Musisz przechwycić szczegółowe dzienniki inspekcji wymagane przez przepisy | Zbierz wszystkie modyfikacje plików w folderach zawierających dane poufne | Spełnianie wymagań prawnych (PCI-DSS, HIPAA, RODO) ze szczegółowymi ścieżkami inspekcji kryminalistycznej |
| Reagowanie na zdarzenia | Musisz zebrać dane kryminalistyczne podczas aktywnych dochodzeń | Tymczasowe zbieranie wszystkich połączeń sieciowych z serwerów potencjalnie zagrożonych | Przechwytywanie szczegółowych dowodów na potrzeby badania, identyfikowanie ruchu bocznego i wspieranie działań naprawczych |
| Wykrywanie ruchu bocznego | Należy monitorować pod kątem konkretnych wskaźników ruchu bocznego | Śledzenie połączeń zdalnych i zdarzeń uwierzytelniania między kontrolerami domeny | Wykrywanie osób atakujących przemieszczających się między systemami przy użyciu skradzionych poświadczeń lub narzędzi dostępu zdalnego |
Zalety zbierania danych niestandardowych
| Korzyści | Opis |
|---|---|
| Widoczność docelowa | Zbierz tylko potrzebne zdarzenia, zmniejszając szum i kontrolując koszty pozyskiwania danych w Microsoft Sentinel |
| Elastyczne wyszukiwanie zagrożeń | Tworzenie niestandardowych zapytań dotyczących wyspecjalizowanych danych telemetrycznych w Microsoft Sentinel na potrzeby wyszukiwania zagrożeń głębokich i badania |
| Zbieranie dowodów | Przechwytywanie szczegółowych danych kryminalistycznych na potrzeby badań, inspekcji zgodności i reagowania na zdarzenia |
| Skalowalne monitorowanie | Kolekcja docelowa dla określonych grup urządzeń przy użyciu tagów dynamicznych, zapewniając, że kolekcja pozostaje aktualna w miarę zmian w środowisku |
| Kontrola kosztów | Unikaj zbierania niepotrzebnych danych przy użyciu określonych filtrów i określania wartości docelowej urządzeń |
Ważna
Niestandardowe zbieranie danych wymaga określania wartości docelowej urządzeń przy użyciu tagów dynamicznych. Przed utworzeniem niestandardowych reguł zbierania należy skonfigurować tagi dynamiczne w usłudze Asset Rule Management. Zobacz Tworzenie tagów urządzeń i urządzeń docelowych oraz zarządzanie nimi.
Jak działa zbieranie danych niestandardowych
Niestandardowe zbieranie danych używa filtrowania opartego na regułach do przechwytywania określonych zdarzeń z urządzeń punktu końcowego i kierowania ich do obszaru roboczego Microsoft Sentinel w celu analizy i wyszukiwania zagrożeń.
Proces zbierania
- Definiowanie reguł: tworzenie reguł zbierania w portalu Microsoft Defender z określonymi filtrami zdarzeń
- Urządzenia docelowe: użyj tagów dynamicznych, aby określić, które urządzenia powinny zbierać dane
- Reguły wdrażania: reguły są przesyłane do docelowych punktów końcowych (zazwyczaj w ciągu 20 minut do 1 godziny)
- Zbieranie zdarzeń: punkty końcowe zbierają zdarzenia zgodne z kryteriami reguły wraz z domyślną telemetrią
- Analizowanie danych: wykonywanie zapytań dotyczących niestandardowych danych zdarzeń w obszarze roboczym Microsoft Sentinel
Uwaga
Niestandardowe reguły zbierania danych działają razem z domyślną konfiguracją usługi Defender dla punktu końcowego. Kolekcja niestandardowa nie zastępuje ani nie modyfikuje standardowych danych telemetrycznych — dodaje do niej.
Obsługiwane tabele zdarzeń
Niestandardowe zbieranie danych obsługuje następujące tabele zdarzeń. Każda tabela przechwytuje różne typy działań związanych z zabezpieczeniami:
| Nazwa tabeli | Typy zdarzeń | Użyj dla |
|---|---|---|
| DeviceCustomProcessEvents | Tworzenie, kończenie procesu i inne działania procesu | Monitorowanie uruchamiania plików wykonywalnych, śledzenie drzew procesów, wykrywanie złośliwych procesów |
| DeviceCustomImageLoadEvents | Zdarzenia ładowania bibliotek DLL i obrazów | Identyfikowanie wstrzyknięcia złośliwej biblioteki, śledzenie podejrzanych obciążeń modułów |
| DeviceCustomFileEvents | Tworzenie, modyfikowanie, usuwanie i dostęp do plików | Monitorowanie dostępu dane poufne, śledzenie wskaźników oprogramowania wymuszającego okup, inspekcja zgodności |
| DeviceCustomNetworkEvents | Zdarzenia połączenia sieciowego z adresami IP, portami i protokołami | Wykrywanie ruchu bocznego, monitorowanie komunikacji C2, śledzenie nieautoryzowanych połączeń |
| DeviceCustomScriptEvents | Wykonywanie skryptu (PowerShell, JavaScript itp.) | Wykrywanie złośliwego oprogramowania bez plików, monitorowanie skryptów administracyjnych, identyfikowanie ataków opartych na skryptach |
Aby uzyskać szczegółowe informacje o schemacie, zobacz Zaawansowane tabele schematów wyszukiwania zagrożeń.
Wymagania wstępne i wymagania
Przed użyciem niestandardowego zbierania danych upewnij się, że spełniasz następujące wymagania:
| Kategoria wymagań | Szczegóły |
|---|---|
| Licencje | • licencja Ochrona punktu końcowego w usłudze Microsoft Defender plan 2 |
| Microsoft Sentinel obszar roboczy | • Połączony obszar roboczy Microsoft Sentinel na potrzeby niestandardowego przechowywania danych i wykonywania zapytań • Podczas tworzenia niestandardowych reguł zbierania danych należy wybrać obszar roboczy • Obecnie ograniczone do jednego obszaru roboczego Sentinel na dzierżawę na potrzeby zbierania danych niestandardowych |
| Określanie wartości docelowej urządzeń | • Tagi dynamiczne skonfigurowane w usłudze Asset Rule Management • Tagi dynamiczne muszą być uruchamiane co najmniej raz przed użyciem w niestandardowych regułach zbierania • Tagi ręczne (statyczne) nie są obsługiwane w przypadku zbierania danych niestandardowych |
| Systemy operacyjne | • Windows 10 i 11 (minimalna wersja klienta 10.8805) — Windows 10 wymaga rejestracji w programie Extended Security Aktualizacje (ESU) • Windows Server 2019 r. i nowsze |
| Zagadnienia dotyczące kosztów | • Niestandardowe zbieranie danych jest dołączone do licencjonowania Ochrona punktu końcowego w usłudze Microsoft Defender P2 • Pozyskiwanie danych do Microsoft Sentinel wiąże się z naliczaniem opłat na podstawie Sentinel rozliczeń • Zbieranie elementów docelowych dokładnie do określonych grup urządzeń w celu kontrolowania ilości danych i kosztów |
| Limity wydajności | • Każda reguła może przechwytywać do 25 000 zdarzeń na urządzenie na 24-godzinne okno stopniowe • Gdy urządzenie osiągnie próg, dane telemetryczne dla określonej reguły zostaną zatrzymane do momentu zresetowania okna • Wiele reguł może być aktywnych jednocześnie, z których każda ma własny limit • Wdrażanie reguł zwykle trwa od 20 minut do 1 godziny |
Zobacz Tworzenie niestandardowych reguł zbierania danych , aby zapoznać się z pełnymi wymaganiami wstępnymi i instrukcjami dotyczącymi konfiguracji.
Często zadawane pytania
| Pytanie | Odpowiedź |
|---|---|
| Czy zbieranie danych niestandardowych ma wpływ na domyślną konfigurację usługi Defender for Endpoint? | Nie, niestandardowe reguły zbierania danych działają razem z domyślną konfiguracją usługi Defender for Endpoint bez zakłóceń. Kolekcja niestandardowa nie zastępuje ani nie modyfikuje standardowych danych telemetrycznych — dodaje do niej. |
| Czy Microsoft Sentinel obszar roboczy jest wymagany? | Tak, do tworzenia i używania niestandardowych reguł zbierania danych potrzebujesz połączonego obszaru roboczego Microsoft Sentinel. Należy również wybrać obszar roboczy podczas tworzenia reguł. |
| Dlaczego tagi dynamiczne są wymagane? | Tagi dynamiczne zapewniają, że określanie wartości docelowej urządzeń pozostaje aktualne w miarę zmian w środowisku. Tagi ręczne nie są aktualizowane automatycznie, co może spowodować nieaktualne określanie wartości docelowej kolekcji. Tagi dynamiczne są również wymagane do integracji z usługą Asset Rule Management. |
| Jak sprawdzić, czy reguła jest aktywna na urządzeniu? | Wykonaj zapytanie w odpowiedniej tabeli zdarzeń niestandardowych dla urządzenia, aby wyświetlić zebrane zdarzenia. Przykład:search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| Co się stanie, gdy urządzenie osiągnie limit 25 000 zdarzeń? | Kolekcja danych telemetrycznych dla tej określonej reguły zatrzymuje się do momentu zresetowania 24-godzinnego okna kroczącego. Inne reguły na urządzeniu nadal zbierają zdarzenia. Uściślij warunki reguły, aby były bardziej szczegółowe i zmniejszały ilość zdarzeń. |
| Czy można używać tagów ręcznych do zbierania danych niestandardowych? | Nie, obsługiwane są tylko tagi dynamiczne. Tagi dynamiczne są automatycznie aktualizowane w miarę zmiany właściwości urządzenia, dzięki czemu określanie wartości docelowej kolekcji pozostaje dokładne. |
| Jak długo trwa wdrażanie reguły na urządzeniach? | Wdrażanie reguł zwykle trwa od 20 minut do 1 godziny. Zweryfikuj wdrożenie, wykonując zapytanie dotyczące niestandardowych tabel zdarzeń dla danych z urządzeń docelowych. |
Następne kroki
- Tworzenie niestandardowych reguł zbierania danych: instrukcje krok po kroku dotyczące tworzenia reguł i zarządzania nimi
- Tworzenie tagów urządzeń i urządzeń docelowych oraz zarządzanie nimi: konfigurowanie tagów dynamicznych na potrzeby określania wartości docelowej urządzeń