إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
هام
تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.
يتيح جمع البيانات المخصص (معاينة) للمؤسسات توسيع وتخصيص جمع بيانات تتبع الاستخدام بما يتجاوز التكوينات الافتراضية لدعم احتياجات تتبع التهديدات ومراقبة الأمان المتخصصة. تسمح هذه الميزة لفرق الأمان بتحديد قواعد مجموعة محددة مع عوامل تصفية مخصصة لخصائص الحدث مثل مسارات المجلدات وأسماء العمليات واتصالات الشبكة.
توفر هذه المقالة نظرة عامة على جمع البيانات المخصصة بحيث يمكنك فهم قدرات الميزة وكيفية تحسين رؤية الأمان وعمليات تتبع التهديدات.
كيفية عمل جمع البيانات المخصصة
يستخدم جمع البيانات المخصص التصفية المستندة إلى القواعد لالتقاط أحداث معينة من أجهزة نقطة النهاية وتوجيهها إلى مساحة عمل Microsoft Sentinel للتحليل وتتبع التهديدات.
تسمح لك قواعد المجموعة المخصصة بتحديد الأحداث المحددة التي تريد التقاطها والشروط التي يجب جمعها بموجبها.
لإنشاء قواعد تجميع بيانات مخصصة، راجع إنشاء قواعد تجميع بيانات مخصصة.
جداول الأحداث المدعومة
يدعم جمع البيانات المخصصة جداول الأحداث التالية.
| اسم الجدول | الوصف | التعرف على المزيد |
|---|---|---|
| DeviceCustomProcessEvents | يخزن البيانات حول إنشاء العملية والإنهاء والأنشطة الأخرى المتعلقة بالعملية. | مرجع مخطط داخل المدخل أو مرجع جدول DeviceProcessEvents |
| DeviceCustomImageLoadEvents | يخزن البيانات على أحداث تحميل الصور، بما في ذلك تفاصيل حول الصور المحملة وأصولها. | مرجع مخطط داخل المدخل أو مرجع جدول DeviceImageLoadEvents |
| أحداث DeviceCustomFilevents | يخزن البيانات على أنشطة إنشاء الملفات وتعديلها وحذفها والوصول إليها. | مرجع مخطط داخل المدخل أو مرجع جدول DeviceFileEvents |
| أحداث DeviceCustomNetworkEvents | يخزن البيانات على أحداث اتصال الشبكة، بما في ذلك عناوين IP والمنافذ والبروتوكولات. | مرجع مخطط داخل المدخل أو مرجع جدول DeviceNetworkEvents |
| أحداث DeviceCustomScriptEvents | يخزن البيانات على تنفيذ البرنامج النصي وتفاصيل العملية المتعلقة بأي طلب عميل صريح للتحصيل. هذا الجدول عبارة عن إضافة جديدة ولا يحتوي على مرجع في جداول الأحداث الافتراضية. | مرجع مخطط داخل المدخل |
تدفق البيانات وتكاملها
هذا هو تدفق البيانات النموذجي لجمع البيانات المخصصة:
- حدد قواعد المجموعة في مدخل Microsoft Defender مع عوامل تصفية وأهداف جهاز محددة.
- يتم إرسال القواعد إلى نقاط النهاية المستهدفة، عادة في غضون 20 دقيقة إلى ساعة واحدة.
- تجمع نقاط النهاية الأحداث المطابقة لمعايير القاعدة الخاصة بك جنبا إلى جنب مع بيانات تتبع الاستخدام الافتراضية.
- تتدفق بيانات الحدث المخصصة إلى مساحة عمل Microsoft Sentinel المتصلة.
- الاستعلام عن البيانات المخصصة باستخدام جداول الأحداث المدعومة للتعرف على أنشطة معينة على نقاط النهاية الخاصة بك.
الأسئلة الشائعة
هل يؤثر جمع البيانات المخصص على تكوين Defender لنقطة النهاية الافتراضي؟
لا، تعيش قواعد جمع البيانات المخصصة جنبا إلى جنب مع تكوين Defender لنقطة النهاية الجاهزة.
هل هناك حاجة إلى مساحة عمل Microsoft Sentinel؟
نعم، تحتاج إلى مساحة عمل Microsoft Sentinel متصلة لإنشاء قواعد تجميع بيانات مخصصة. لمزيد من المعلومات، راجع المتطلبات الأساسية.
تحتاج أيضا إلى تحديد مساحة عمل Microsoft Sentinel عند إنشاء قاعدة تجميع بيانات مخصصة. لمزيد من المعلومات، راجع إنشاء قواعد.
كيف يمكنني معرفة ما إذا كانت القاعدة قد وصلت إلى نقطة النهاية؟
يمكنك الاستعلام عن الأحداث التي تم جمعها بواسطة القاعدة ذات الصلة، لنقطة النهاية المحددة. على سبيل المثال، يقوم الاستعلام التالي بإرجاع جميع القواعد الفعالة على نقطة النهاية (الآن وفي الماضي)، مع حساب الأحداث التي تم جمعها للقواعد.
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize count() by RuleName, RuleLastModificationTime, $table
هل يتحمل جمع البيانات المخصص تكاليف إضافية؟
راجع تكاليف البيانات.
ما هي إصدارات العميل وأنظمة التشغيل المدعومة حاليا؟
راجع أنظمة التشغيل المدعومة. للاستعلام عن إصدار العميل الخاص بك، في التتبع المتقدم، استخدم العمود ClientVersion في جدول DeviceInfo .
هل العلامات اليدوية (الثابتة) مدعومة؟
لا، نحن ندعم حاليا العلامات الديناميكية فقط. ومع ذلك، يمكنك إنشاء علامات ديناميكية من العلامات اليدوية في الإعدادات > Microsoft Defender XDR > إدارة قاعدة الأصول. لمزيد من المعلومات، راجع تكوين القواعد الديناميكية للأجهزة في إدارة قواعد الأصول.
كيف يمكنني جمع جميع الأحداث لنوع حدث معين؟
راجع المراقبة واستكشاف الأخطاء وإصلاحها.
الخطوات التالية
- تعرف على كيفية إنشاء قواعد جمع البيانات المخصصة وإدارتها
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.