Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Vigtigt!
Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.
Brugerdefineret dataindsamling (prøveversion) gør det muligt for organisationer at udvide og tilpasse telemetriindsamling ud over standardkonfigurationer for at understøtte specialiserede behov for trusselsjagt og sikkerhedsovervågning. Denne funktion gør det muligt for sikkerhedsteams at definere specifikke samlingsregler med skræddersyede filtre til hændelsesegenskaber, f.eks. mappestier, procesnavne og netværksforbindelser.
Denne artikel indeholder en oversigt over brugerdefineret dataindsamling, så du kan forstå funktionens funktioner, og hvordan den forbedrer din sikkerhedssynlighed og trusselsjagthandlinger.
Sådan fungerer brugerdefineret dataindsamling
Brugerdefineret dataindsamling bruger regelbaseret filtrering til at registrere bestemte hændelser fra slutpunktsenheder og dirigere dem til dit Microsoft Sentinel arbejdsområde til analyse og trusselsjagt.
Med brugerdefinerede indsamlingsregler kan du definere de specifikke hændelser, du vil registrere, og de betingelser, som de skal indsamles under.
Hvis du vil oprette brugerdefinerede regler for dataindsamling, skal du se Opret regler for brugerdefineret dataindsamling.
Understøttede hændelsestabeller
Brugerdefineret dataindsamling understøtter følgende hændelsestabeller.
| Tabelnavn | Beskrivelse | Lær mere |
|---|---|---|
| DeviceCustomProcessEvents | Gemmer data om procesoprettelse, afslutning og andre procesrelaterede aktiviteter. | Skemareference i portalen eller tabelreference for DeviceProcessEvents |
| DeviceCustomImageLoadEvents | Gemmer data om hændelser for billedindlæsning, herunder oplysninger om de indlæste billeder og deres oprindelse. | Skemareference i portalen eller tabelreference for DeviceImageLoadEvents |
| DeviceCustomFileEvents | Gemmer data om filoprettelse, ændring, sletning og adgang til aktiviteter. | Skemareference i portalen eller reference til tabellen DeviceFileEvents |
| DeviceCustomNetworkEvents | Gemmer data om netværksforbindelseshændelser, herunder IP-adresser, porte og protokoller. | Skemareference i portalen eller reference til tabellen DeviceNetworkEvents |
| DeviceCustomScriptEvents | Gemmer data om udførelse af scripts og procesoplysninger, der er relateret til alle eksplicitte kundeanmodninger om indsamling. Denne tabel er en ny tilføjelse og har ikke en reference i standardhændelsestabellerne. | Skemareference i portalen |
Dataflow og integration
Dette er det typiske dataflow for brugerdefineret dataindsamling:
- Definer regler for samling på Microsoft Defender portalen med bestemte filtre og enhedsmål.
- Regler sendes til målrettede slutpunkter, typisk inden for 20 minutter til én time.
- Slutpunkter indsamler hændelser, der opfylder dine regelkriterier sammen med standardtelemetri.
- Brugerdefinerede hændelsesdataflows til dit forbundne Microsoft Sentinel arbejdsområde.
- Forespørg om brugerdefinerede data ved hjælp af de understøttede hændelsestabeller for at få mere at vide om bestemte aktiviteter på dine slutpunkter.
Ofte stillede spørgsmål
Påvirker brugerdefineret dataindsamling standardkonfigurationen for Defender for Endpoint?
Nej, brugerdefinerede regler for dataindsamling vises side om side med konfigurationen af Defender for Endpoint klar til brug.
Kræves der et Microsoft Sentinel arbejdsområde?
Ja, du skal bruge et forbundet Microsoft Sentinel arbejdsområde for at oprette brugerdefinerede regler for dataindsamling. Du kan få flere oplysninger under forudsætningerne.
Du skal også vælge arbejdsområdet Microsoft Sentinel, når du opretter en brugerdefineret regel for dataindsamling. Du kan få flere oplysninger under Opret regler.
Hvordan kan jeg vide, om en regel har nået slutpunktet?
Du kan forespørge om hændelser, der indsamles af den relevante regel, for det specifikke slutpunkt. Følgende forespørgsel returnerer f.eks. alle gældende regler for slutpunktet (nu og tidligere) med optælling af reglernes indsamlede hændelser.
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize count() by RuleName, RuleLastModificationTime, $table
Medfører brugerdefineret dataindsamling yderligere omkostninger?
Se dataomkostninger.
Hvilke klientversioner og operativsystemer understøttes i øjeblikket?
Se understøttede operativsystemer. Hvis du vil forespørge om din klientversion, skal du i avanceret jagt bruge kolonnen ClientVersion i tabellen DeviceInfo .
Understøttes manuelle (statiske) mærker?
Nej, vi understøtter i øjeblikket kun dynamiske mærker. Du kan dog oprette dynamiske mærker ud af manuelle mærker under Indstillinger > Microsoft Defender XDR > Administration af aktivregel. Du kan få flere oplysninger under Konfigurer dynamiske regler for enheder i administration af aktivregler.
Hvordan kan jeg indsamle alle hændelser for en bestemt hændelsestype?
Se Overvåg og foretag fejlfinding.
Næste trin
- Få mere at vide om, hvordan du opretter og administrerer brugerdefinerede regler for dataindsamling
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.