Del via

Opret og administrer brugerdefinerede regler for dataindsamling i Microsoft Defender for Endpoint (prøveversion)

  • Gælder for: Microsoft Defender for Endpoint

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Brugerdefineret dataindsamling (prøveversion) gør det muligt for organisationer at udvide og tilpasse telemetriindsamling ud over standardkonfigurationer for at understøtte specialiserede behov for trusselsjagt og sikkerhedsovervågning.

Brugerdefinerede regler for dataindsamling giver dig mulighed for at definere bestemte hændelser og analysere dataene for at forbedre din sikkerhedssynlighed og trusselsjagthandlinger. Brugerdefinerede regler for dataindsamling er baseret på tilpassede filtre for hændelsesegenskaber, f.eks. mappestier, procesnavne og netværksforbindelser.

I denne artikel kan du se, hvordan du opretter og administrerer brugerdefinerede regler for dataindsamling på Microsoft Defender-portalen.

Opret brugerdefinerede regler for dataindsamling

Forudsætninger

Hvis du vil bruge brugerdefineret dataindsamling, skal du kontrollere, at du har følgende forudsætninger:

  • En Microsoft Defender for Endpoint P2-licens.
  • Et forbundet Microsoft Sentinel arbejdsområde: påkrævet til brugerdefineret datalager og forespørgsler. Du kan i øjeblikket kun oprette forbindelse til ét Sentinel arbejdsområde pr. Defender for Endpoint-lejer for brugerdefineret dataindsamling.

    Bemærk!

    Selvom du har en forbundet Microsoft Sentinel arbejdsområde, skal du stadig vælge arbejdsområdet, når du opretter en brugerdefineret regel for dataindsamling. Du kan få flere oplysninger under Opret regler.

  • Dynamiske mærker, der er konfigureret i Asset Rule Management til enhedsmålretning. Hvis du vil bruge et mærke til brugerdefineret dataindsamling, skal koden køres mindst én gang.

Understøttede operativsystemer

Ydeevne og grænser

  • Hver samlingsregel kan optage op til 25.000 hændelser pr. enhed inden for et 24-timers rullende vindue. Når enheden når grænsen, stopper telemetrien for den specifikke regel på den specifikke enhed, indtil vinduet nulstilles.
    • Hvis enheden når tærsklen tidligt i cyklussen, kan det tage op til 24 timer, før telemetrien genoptages. Hvis enheden f.eks. når grænsen én time efter nulstilling af vinduet, fortsætter telemetrien efter 23 timer.
    • Hvis enheden når grænsen nær slutningen af vinduet, er forsinkelsen kortere. Hvis enheden f.eks. når grænsen to timer, før vinduet nulstilles, fortsætter telemetrien efter to timer.
  • Udrulning af regler tager typisk 20 minutter til én time.
  • Brugerdefineret samling fungerer sammen med standardkonfigurationen af Defender for Endpoint uden indblanding.

Dataomkostninger

Brugerdefineret dataindsamling er inkluderet i Microsoft Defender for Endpoint P2-licenser. Dataindtagelse i Microsoft Sentinel arbejdsområder medfører dog gebyrer baseret på din Sentinel faktureringsordning.

Opret regler

  1. Gå til Indstillinger>Regler for slutpunkter>>Brugerdefineret dataindsamling i Microsoft Defender-portalen.

  2. Hvis du vil onboarde dit Microsoft Sentinel arbejdsområde, skal du vælge navnet på det Microsoft Sentinel arbejdsområde øverst til højre.

    Skærmbillede af valg af et Microsoft Sentinel arbejdsområde.

  3. Vælg dit arbejdsområde på siden Arbejdsområdeområde .

    Skærmbillede af valg af et Microsoft Sentinel arbejdsområdeområde.

    Bemærk!

    Du skal vælge arbejdsområdet i denne fase, selvom du allerede har oprettet forbindelse Microsoft Sentinel arbejdsområde.

  4. Vælg Opret regel. I afsnittet Generelle oplysninger skal du skrive et regelnavn og en beskrivelse og vælge Næste.

    Skærmbillede af oprettelse af en regel: siden Generelle oplysninger.

  5. I afsnittet Opret regel :

    1. Vælg, hvilken tabel du vil indsamle data fra. Du kan få flere oplysninger under Understøttede hændelsestabeller.
    2. Vælg den handling, du vil indsamle data for.
    3. Tilføj regelbetingelser for at filtrere dataene yderligere. Du kan tilføje flere betingelser for at tilpasse dataindsamlingen. Regelbetingelser er baseret på den valgte tabel. Du kan få flere oplysninger i linket til de respektive tabeller under Understøttede hændelsestabeller.

    Skærmbillede af oprettelse af en regel: Opret regelside.

  6. Vælg Næste.

  7. I afsnittet Definer regelområde skal du vælge, om du vil indsamle data fra alle relevante klientenheder eller fra bestemte enheder, der indeholder dynamiske koder. Du kan få flere oplysninger under Opret dynamiske regler for enheder i administration af aktivregler.

    Skærmbillede af oprettelse af en regel: Definer områdeside.

    Bemærk!

    Brugerdefineret dataindsamling understøtter kun dynamiske koder.

  8. Gennemse dine regelindstillinger i afsnittet Gennemse og afslut , og vælg Send.

    Skærmbillede af oprettelse af en regel: Gennemse og afslut side.

Det kan tage op til en time, før reglen udrulles på de målrettede enheder.

Overvåg og foretag fejlfinding

Hvis reglerne ikke fungerer som forventet:

  • Opret en bred regel for at indsamle hændelser i en uventet use case. Opret f.eks. en regel, der indsamler alle netværkshændelser, hvor port not equals 0.
  • Anvend individuelle filtre og mærker for at isolere problemer.
  • Hvis en enhed ikke svarer, når du har aktiveret funktionen, skal du genstarte enheden.

Gennemse disse overvejelser, når du overvåger og foretager fejlfinding af brugerdefinerede regler for dataindsamling:

  • EDR-udeladelser (Endpoint Detection and Response) kan tilsidesætte brugerdefinerede indsamlingsregler.
  • Dynamiske mærker opdateres ca. hver time. Kontrollér kolonnenSidste kørselstid for brugerdefineret samling> for at se statussen.

Rediger, slet og aktivér eller deaktiver brugerdefinerede regler for dataindsamling

  • Hvis du vil redigere en regel, skal du gå til Indstillinger>Slutpunkter>Regler>Brugerdefineret samling, vælge den regel, du vil redigere, og vælge Rediger.
  • Hvis du vil deaktivere eller aktivere en regel, skal du markere den regel, du vil ændre, og markere eller fjerne markeringen i afkrydsningsfeltet Aktivér under regelbeskrivelsen. Når du deaktiverer en regel, stopper dataindsamlingen for den pågældende regel på alle målrettede enheder.
  • Hvis du vil slette en regel, skal du vælge den regel, du vil slette, og vælge Slet. Når du sletter en regel, fjernes reglen permanent fra systemet.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.

  • Last updated on