إنشاء قواعد جمع البيانات المخصصة وإدارتها في Microsoft Defender لنقطة النهاية (معاينة)

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

يتيح جمع البيانات المخصص (معاينة) للمؤسسات توسيع وتخصيص جمع بيانات تتبع الاستخدام بما يتجاوز التكوينات الافتراضية لدعم احتياجات تتبع التهديدات ومراقبة الأمان المتخصصة.

تسمح لك قواعد جمع البيانات المخصصة بتحديد أحداث معينة وتحليل البيانات لتحسين رؤية الأمان وعمليات تتبع التهديدات. تستند قواعد جمع البيانات المخصصة إلى عوامل تصفية مخصصة لخصائص الحدث مثل مسارات المجلدات وأسماء العمليات واتصالات الشبكة.

توضح لك هذه المقالة كيفية إنشاء قواعد تجميع البيانات المخصصة وإدارتها في مدخل Microsoft Defender.

إنشاء قواعد تجميع بيانات مخصصة

المتطلبات الأساسية

لاستخدام جمع البيانات المخصصة، تحقق من أن لديك المتطلبات الأساسية التالية:

• ترخيص Microsoft Defender لنقطة النهاية P2.
• مساحة عمل Microsoft Sentinel متصلة: مطلوبة لتخزين البيانات المخصصة والاستعلام. يمكنك حاليا توصيل مساحة عمل Sentinel واحدة فقط لكل مستأجر Defender لنقطة النهاية لجمع البيانات المخصصة.

  ملاحظة

  حتى إذا كان لديك مساحة عمل Microsoft Sentinel متصلة، فلا تزال بحاجة إلى تحديد مساحة العمل عند إنشاء قاعدة تجميع بيانات مخصصة. لمزيد من المعلومات، راجع إنشاء قواعد.

• العلامات الديناميكية التي تم تكوينها في Asset Rule Management لاستهداف الجهاز. لاستخدام علامة لجمع البيانات المخصصة، يجب تشغيل العلامة مرة واحدة على الأقل.

أنظمة التشغيل المدعومة

• Windows 10 و11 مع إصدار عميل Defender لنقطة النهاية 10.8805 كحد أدنى.
  • يتطلب Windows 10 التسجيل في برنامج التحديثات الأمان الموسع (ESU).
• Windows Server 2019 والإصدارات الأحدث.

الأداء والحدود

• يمكن لكل قاعدة مجموعة التقاط ما يصل إلى 25000 حدث لكل جهاز ضمن نافذة متجددة على مدار 24 ساعة. بمجرد وصول الجهاز إلى الحد الأقصى، يتوقف القياس عن بعد للقاعدة المحددة على الجهاز المحدد حتى يتم إعادة تعيين النافذة.
  • إذا وصل الجهاز إلى الحد في وقت مبكر من الدورة، فقد يستغرق استئناف بيانات تتبع الاستخدام ما يصل إلى 24 ساعة. على سبيل المثال، إذا وصل الجهاز إلى الحد بعد ساعة واحدة من إعادة تعيين النافذة، يستأنف القياس عن بعد بعد 23 ساعة.
  • إذا وصل الجهاز إلى الحد بالقرب من نهاية النافذة، يكون التأخير أقصر. على سبيل المثال، إذا وصل الجهاز إلى الحد قبل ساعتين من إعادة تعيين النافذة، يستأنف القياس عن بعد بعد ساعتين.
• يستغرق نشر القاعدة عادة من 20 دقيقة إلى ساعة واحدة.
• تعمل المجموعة المخصصة جنبا إلى جنب مع تكوين Defender لنقطة النهاية الافتراضي دون تداخل.

تكاليف البيانات

يتم تضمين جمع البيانات المخصصة مع ترخيص Microsoft Defender لنقطة النهاية P2. ومع ذلك، فإن استيعاب البيانات في مساحات عمل Microsoft Sentinel يتحمل رسوما بناء على ترتيب الفوترة Sentinel الخاص بك.

إنشاء قواعد

1. في مدخل Microsoft Defender، انتقل إلى Settings>Endpoints>Rules>Custom Data Collection.

2. لإلحاق مساحة عمل Microsoft Sentinel، في الجزء العلوي الأيسر، حدد اسم مساحة عمل Microsoft Sentinel.

   

3. في صفحة نطاق مساحة العمل ، حدد مساحة العمل الخاصة بك.

   

   ملاحظة

   تحتاج إلى تحديد مساحة العمل في هذه المرحلة، حتى إذا كان لديك بالفعل مساحة عمل Microsoft Sentinel متصلة.

4. حدد إنشاء قاعدة. في قسم معلومات عامة ، اكتب اسم القاعدة ووصفها، وحدد التالي.

   

5. في قسم إنشاء قاعدة :

   1. حدد الجدول الذي تريد جمع البيانات منه. لمزيد من المعلومات، راجع جداول الأحداث المدعومة.
   2. حدد الإجراء الذي تريد جمع البيانات من أجله.
   3. أضف شروط القاعدة لتصفية البيانات بشكل أكبر. يمكنك إضافة شروط متعددة لتحسين جمع البيانات. تستند شروط القاعدة إلى الجدول المحدد. لمزيد من المعلومات، راجع ارتباط الجدول المعني ضمن جداول الأحداث المدعومة.

   

6. حدد التالي.

7. في قسم تعريف نطاق القاعدة ، حدد ما إذا كنت تريد جمع البيانات من جميع أجهزة العميل القابلة للتطبيق أو من أجهزة معينة تتضمن علامات ديناميكية. لمزيد من المعلومات، راجع إنشاء قواعد ديناميكية للأجهزة في إدارة قواعد الأصول.

   

   ملاحظة

   يدعم جمع البيانات المخصصة العلامات الديناميكية فقط.

8. في قسم Review and finish ، راجع إعدادات القاعدة، وحدد Submit.

   

قد يستغرق نشر القاعدة على الأجهزة المستهدفة ما يصل إلى ساعة.

مراقبة واستكشاف الأخطاء وإصلاحها

إذا لم تعمل القواعد كما هو متوقع:

• إنشاء قاعدة واسعة لجمع الأحداث في حالة استخدام غير متوقعة. على سبيل المثال، قم بإنشاء قاعدة تجمع جميع أحداث الشبكة حيث port not equals 0.
• تطبيق عوامل التصفية والعلامات الفردية لعزل المشكلات.
• إذا لم يستجب الجهاز بعد تمكين الميزة، فقم بإعادة تشغيل الجهاز.

راجع هذه الاعتبارات عند مراقبة قواعد جمع البيانات المخصصة واستكشاف الأخطاء وإصلاحها:

• قد تتجاوز استثناءات الكشف عن نقطة النهاية والاستجابة لها (EDR) قواعد المجموعة المخصصة.
• يتم تحديث العلامات الديناميكية كل ساعة تقريبا. تحقق من عمودوقت التشغيل الأخيرللمجموعة> المخصصة للحصول على الحالة.

تحرير قواعد جمع البيانات المخصصة وحذفها وتمكينها أو تعطيلها

• لتحرير قاعدة، انتقل إلى Settings>Endpoints>Rules>Custom Collection، وحدد القاعدة التي تريد تحريرها، وحدد Edit.
• لتعطيل قاعدة أو تمكينها، حدد القاعدة التي تريد تعديلها، وحدد خانة الاختيار تمكين أو قم بإلغاء تحديدها ضمن وصف القاعدة. عند تعطيل قاعدة، يتوقف جمع البيانات لتلك القاعدة على جميع الأجهزة المستهدفة.
• لحذف قاعدة، حدد القاعدة التي تريد حذفها، وحدد حذف. عند حذف قاعدة، تتم إزالة القاعدة نهائيا من النظام.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.