Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.
Vlastní shromažďování dat (Preview) umožňuje organizacím rozšířit a přizpůsobit shromažďování telemetrických dat nad rámec výchozích konfigurací, aby podporovaly specializované potřeby proaktivního vyhledávání hrozeb a monitorování zabezpečení. Tato funkce umožňuje týmům zabezpečení definovat specifická pravidla shromažďování s přizpůsobenými filtry pro vlastnosti událostí, jako jsou cesty ke složkám, názvy procesů a síťová připojení.
Tento článek obsahuje přehled o vlastním shromažďování dat, abyste pochopili možnosti této funkce a způsob, jakým vylepšuje viditelnost zabezpečení a operace proaktivního vyhledávání hrozeb.
Jak funguje vlastní shromažďování dat
Vlastní shromažďování dat používá filtrování založené na pravidlech k zachycení konkrétních událostí ze zařízení koncových bodů a jejich směrování do pracovního prostoru Microsoft Sentinel pro účely analýzy a proaktivního vyhledávání hrozeb.
Vlastní pravidla kolekce umožňují definovat konkrétní události, které chcete zachytit, a podmínky, za kterých se mají shromažďovat.
Pokud chcete vytvořit vlastní pravidla shromažďování dat, přečtěte si téma Vytvoření vlastních pravidel shromažďování dat.
Podporované tabulky událostí
Vlastní shromažďování dat podporuje následující tabulky událostí.
| Název tabulky | Popis | Další informace |
|---|---|---|
| DeviceCustomProcessEvents | Ukládá data o vytváření, ukončení procesů a dalších aktivitách souvisejících s procesem. | Referenční informace ke schématu na portálu nebo referenční informace k tabulce DeviceProcessEvents |
| DeviceCustomImageLoadEvents | Ukládá data o událostech načítání obrázků, včetně podrobností o načtených imagích a jejich původu. | Referenční informace ke schématu na portálu nebo referenční informace k tabulce DeviceImageLoadEvents |
| DeviceCustomFileEvents | Ukládá data o aktivitách vytváření, úprav, odstraňování a přístupu k souborům. | Referenční informace ke schématu na portálu nebo referenční informace k tabulce DeviceFileEvents |
| DeviceCustomNetworkEvents | Ukládá data o událostech síťového připojení, včetně IP adres, portů a protokolů. | Referenční informace ke schématu na portálu nebo referenční informace k tabulce DeviceNetworkEvents |
| DeviceCustomScriptEvents | Ukládá data o spuštění skriptu a podrobnosti o procesu související s jakoukoli explicitní žádostí zákazníka o shromažďování. Tato tabulka je nový přírůstek a ve výchozích tabulkách událostí neobsahuje odkaz. | Referenční informace ke schématu na portálu |
Tok dat a integrace
Toto je typický tok dat pro vlastní shromažďování dat:
- Definujte pravidla shromažďování na portálu Microsoft Defender se specifickými filtry a cíli zařízení.
- Pravidla se přenášejí do cílových koncových bodů, obvykle během 20 minut až jedné hodiny.
- Koncové body shromažďují události odpovídající kritériím pravidla společně s výchozí telemetrií.
- Data vlastních událostí proudí do připojeného pracovního prostoru Microsoft Sentinel.
- Pokud chcete získat informace o konkrétních aktivitách na koncových bodech, zadejte dotaz na vlastní data pomocí podporovaných tabulek událostí.
Nejčastější dotazy
Má vlastní shromažďování dat vliv na výchozí konfiguraci Defenderu for Endpoint?
Ne, vlastní pravidla shromažďování dat jsou aktivní vedle sebe s předefinované konfigurací Defenderu for Endpoint.
Vyžaduje se Microsoft Sentinel pracovní prostor?
Ano, k vytvoření vlastních pravidel shromažďování dat potřebujete připojený Microsoft Sentinel pracovní prostor. Další informace najdete v požadavcích.
Při vytváření vlastního pravidla shromažďování dat je také potřeba vybrat pracovní prostor Microsoft Sentinel. Další informace najdete v tématu Vytváření pravidel.
Jak zjistím, jestli pravidlo dosáhlo koncového bodu?
Můžete se dotazovat na události shromážděné příslušným pravidlem pro konkrétní koncový bod. Například následující dotaz vrátí všechna platná pravidla na koncovém bodu (teď i v minulosti) a spočítá shromážděné události pravidel.
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize count() by RuleName, RuleLastModificationTime, $table
Účtují se za shromažďování vlastních dat další náklady?
Podívejte se na náklady na data.
Jaké verze klientů a operační systémy se v současné době podporují?
Viz podporované operační systémy. Pokud chcete zadat dotaz na verzi klienta, použijte v rozšířeném proaktivním vyhledávání sloupec ClientVersion v tabulce DeviceInfo .
Podporují se ruční (statické) značky?
Ne, v současné době podporujeme pouze dynamické značky. Dynamické značky ale můžete vytvořit z ručních značek v Nastavení > Microsoft Defender XDR > Správa pravidel prostředků. Další informace najdete v tématu Konfigurace dynamických pravidel pro zařízení ve správě pravidel prostředků.
Jak můžu shromáždit všechny události pro konkrétní typ události?
Viz Monitorování a řešení potíží.
Další kroky
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.