Vytváření a správa vlastních pravidel shromažďování dat v Microsoft Defender for Endpoint (Preview)

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Vlastní shromažďování dat (Preview) umožňuje organizacím rozšířit a přizpůsobit shromažďování telemetrických dat nad rámec výchozích konfigurací, aby podporovaly specializované potřeby proaktivního vyhledávání hrozeb a monitorování zabezpečení.

Vlastní pravidla shromažďování dat umožňují definovat konkrétní události a analyzovat data, aby se zlepšila viditelnost zabezpečení a operace proaktivního vyhledávání hrozeb. Vlastní pravidla shromažďování dat jsou založená na přizpůsobených filtrech pro vlastnosti událostí, jako jsou cesty ke složkám, názvy procesů a síťová připojení.

V tomto článku se dozvíte, jak vytvořit a spravovat vlastní pravidla shromažďování dat na portálu Microsoft Defender.

Vytvoření vlastních pravidel shromažďování dat

Požadavky

Pokud chcete použít vlastní shromažďování dat, zkontrolujte, že máte následující požadavky:

• Licence Microsoft Defender for Endpoint P2.
• Připojený Microsoft Sentinel pracovní prostor: vyžaduje se pro vlastní ukládání dat a dotazování. V současné době můžete připojit pouze jeden Sentinel pracovní prostor pro každého tenanta Defenderu for Endpoint pro vlastní shromažďování dat.

  Poznámka

  I když máte připojený Microsoft Sentinel pracovním prostoru, musíte při vytváření vlastního pravidla shromažďování dat vybrat pracovní prostor. Další informace najdete v tématu Vytváření pravidel.

• Dynamické značky nakonfigurované ve správě pravidel prostředků pro cílení na zařízení Pokud chcete použít značku pro vlastní shromažďování dat, měla by se značka spustit alespoň jednou.

Podporované operační systémy

• Windows 10 a 11 s minimální verzí klienta Defender for Endpoint 10.8805.
  • Windows 10 vyžaduje registraci v programu Extended Security Aktualizace (ESU).
• Windows Server 2019 a novějších verzích.

Výkon a limity

• Každé pravidlo kolekce může zachytit až 25 000 událostí na zařízení během 24 hodin. Jakmile zařízení dosáhne limitu, telemetrie konkrétního pravidla na konkrétním zařízení se zastaví, dokud se okno nenuluje.
  • Pokud zařízení dosáhne prahové hodnoty na začátku cyklu, může trvat až 24 hodin, než se telemetrie obnoví. Pokud například zařízení dosáhne limitu hodinu po resetování okna, telemetrie se obnoví po 23 hodinách.
  • Pokud zařízení dosáhne prahové hodnoty na konci okna, zpoždění je kratší. Pokud například zařízení dosáhne limitu dvě hodiny před resetováním okna, telemetrie se obnoví po dvou hodinách.
• Nasazení pravidla obvykle trvá 20 minut až jednu hodinu.
• Vlastní kolekce funguje společně s výchozí konfigurací Defenderu for Endpoint bez rušení.

Náklady na data

Vlastní shromažďování dat je součástí licencování Microsoft Defender for Endpoint P2. Za příjem dat do Microsoft Sentinel pracovních prostorů se ale účtují poplatky na základě vašeho Sentinel fakturačního uspořádání.

Vytvoření pravidel

1. Na portálu Microsoft Defender přejděte na Nastavení>Pravidla>koncových bodů>Vlastní shromažďování dat.

2. Pokud chcete připojit pracovní prostor Microsoft Sentinel, vyberte v pravém horním rohu název Microsoft Sentinel pracovního prostoru.

   

3. Na stránce Obor pracovního prostoru vyberte svůj pracovní prostor.

   

   Poznámka

   V této fázi musíte vybrat pracovní prostor, i když už máte připojený Microsoft Sentinel pracovním prostoru.

4. Vyberte Vytvořit pravidlo. V části Obecné informace zadejte název a popis pravidla a vyberte Další.

   

5. V části Vytvořit pravidlo :

   1. Vyberte tabulku, ze které chcete shromažďovat data. Další informace najdete v tématu Podporované tabulky událostí.
   2. Vyberte akci, pro kterou chcete shromažďovat data.
   3. Přidáním podmínek pravidla můžete data ještě více filtrovat. Můžete přidat několik podmínek pro upřesnění shromažďování dat. Podmínky pravidla jsou založené na vybrané tabulce. Další informace najdete na odkazu na příslušnou tabulku v části Podporované tabulky událostí.

   

6. Vyberte Další.

7. V části Definovat obor pravidla vyberte, jestli chcete shromažďovat data ze všech použitelných klientských zařízení nebo z konkrétních zařízení, která obsahují dynamické značky. Další informace najdete v tématu Vytváření dynamických pravidel pro zařízení ve správě pravidel prostředků.

   

   Poznámka

   Vlastní shromažďování dat podporuje pouze dynamické značky.

8. V části Zkontrolovat a dokončit zkontrolujte nastavení pravidla a vyberte Odeslat.

   

Nasazení pravidla do cílových zařízení může trvat až hodinu.

Monitorování a řešení potíží

Pokud pravidla nefungují podle očekávání:

• Vytvořte obecné pravidlo pro shromažďování událostí v neočekávaném případě použití. Vytvořte například pravidlo, které shromáždí všechny síťové události, kde port not equals 0.
• K izolaci problémů použijte jednotlivé filtry a značky.
• Pokud zařízení po povolení funkce nereaguje, restartujte ho.

Při monitorování a řešení potíží s vlastními pravidly shromažďování dat si projděte tyto aspekty:

• Vyloučení detekce a odezvy koncových bodů (EDR) můžou přepsat vlastní pravidla shromažďování.
• Dynamické značky se aktualizují přibližně každou hodinu. Zkontrolujte stav ve sloupci Vlastní kolekce>Při posledním spuštění .

Úprava, odstranění a povolení nebo zakázání vlastních pravidel shromažďování dat

• Pokud chcete pravidlo upravit, přejděte na VlastníkolekcePravidel>koncových bodů>nastavení>, vyberte pravidlo, které chcete upravit, a vyberte Upravit.
• Pokud chcete pravidlo zakázat nebo povolit, vyberte pravidlo, které chcete upravit, a zaškrtněte nebo zrušte zaškrtnutí políčka Povolit pod popisem pravidla. Když pravidlo zakážete, shromažďování dat pro toto pravidlo se zastaví na všech cílových zařízeních.
• Pokud chcete pravidlo odstranit, vyberte pravidlo, které chcete odstranit, a vyberte Odstranit. Když pravidlo odstraníte, pravidlo se trvale odebere ze systému.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.