Jaa

Luo ja hallitse mukautettuja tiedonkeruusääntöjä Microsoft Defender for Endpoint (esikatselu)

  • Koskee seuraavia:: Microsoft Defender for Endpoint

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Mukautetun tiedonkeruun (esikatselu) avulla organisaatiot voivat laajentaa ja mukauttaa telemetriatietojen keräämisen oletusmääritysten lisäksi tukemaan erityisiä uhkien metsästys- ja suojauksen valvontatarpeita.

Mukautettujen tietojenkeruusääntöjen avulla voit määrittää tiettyjä tapahtumia ja analysoida tietoja parantaaksesi suojauksen näkyvyyttä ja uhkien metsästystoimintoja. Mukautetut tiedonkeruusäännöt perustuvat räätälöityihin suodattimiin tapahtuman ominaisuuksille, kuten kansiopoluille, prosessinimille ja verkkoyhteyksille.

Tässä artikkelissa kerrotaan, miten voit luoda ja hallita mukautettuja tiedonkeruusääntöjä Microsoft Defender portaalissa.

Mukautettujen tiedonkeräyssääntöjen luominen

Ennakkovaatimukset

Jos haluat käyttää mukautettua tiedonkeruuta, tarkista, että sinulla on seuraavat edellytykset:

  • Microsoft Defender for Endpoint P2 -käyttöoikeus.
  • Yhdistetty Microsoft Sentinel työtila: tarvitaan mukautettua tietojen tallennusta ja kyselyä varten. Voit tällä hetkellä yhdistää vain yhden Sentinel työtilan Defender for Endpoint -vuokraajaa kohden mukautettua tietojen keräämistä varten.

    Huomautus

    Vaikka sinulla olisi yhdistetty Microsoft Sentinel työtila, sinun on silti valittava työtila, kun luot mukautettua tiedonkeräyssääntöä. Lisätietoja on kohdassa Sääntöjen luominen.

  • Dynaamiset tunnisteet, jotka on määritetty resurssien sääntöjen hallinnassa laitekohdistamista varten. Jos haluat käyttää tunnistetta mukautetussa tietojen keräämisessä, tunniste on suoritettava vähintään kerran.

Tuetut käyttöjärjestelmät

Suorituskyky ja rajoitukset

  • Jokainen kokoelmasääntö voi siepata enintään 25 000 tapahtumaa laitetta kohden 24 tunnin vieritysikkunassa. Kun laite saavuttaa rajoituksen, tietyn säännön telemetriatiedot tietyssä laitteessa pysähtyvät, kunnes ikkuna palautuu.
    • Jos laite saavuttaa raja-arvon syklin varhaisessa vaiheessa, telemetrian jatkaminen voi kestää jopa 24 tuntia. Jos laite esimerkiksi saavuttaa rajoituksen tunnin kuluttua ikkunan nollaamisesta, telemetriatiedot jatkuvat 23 tunnin kuluttua.
    • Jos laite saavuttaa raja-arvon lähellä ikkunan loppua, viive on lyhyempi. Jos laite esimerkiksi saavuttaa rajoituksen kaksi tuntia ennen ikkunan palautumista, telemetriatiedot jatkuvat kahden tunnin kuluttua.
  • Säännön käyttöönotto kestää yleensä 20 minuutista tuntiin.
  • Mukautettu kokoelma toimii Yhdessä Defender for Endpoint -oletusmäärityksen kanssa ilman häiriöitä.

Tietokustannukset

Mukautettu tiedonkeruu sisältyy Microsoft Defender for Endpoint P2 -käyttöoikeuksiin. Tietojen käsittely Microsoft Sentinel työtiloihin aiheuttaa kuitenkin maksuja Sentinel laskutusjärjestelyn perusteella.

Luo sääntöjä

  1. Siirry Microsoft Defender portaalissa kohtaan Asetukset>Päätepisteet>Säännöt>Mukautettujen tietojen kerääminen.

  2. Voit lisätä Microsoft Sentinel työtilan valitsemalla oikeasta yläkulmasta Microsoft Sentinel työtilan nimen.

    Näyttökuva Microsoft Sentinel työtilan valitsemisesta.

  3. Valitse Työtilan vaikutusalue -sivulla työtilasi.

    Näyttökuva Microsoft Sentinel työtilan käyttöalueen valitsemisesta.

    Huomautus

    Sinun on valittava työtila tässä vaiheessa, vaikka sinulla olisi jo yhdistetty Microsoft Sentinel työtila.

  4. Valitse Luo sääntö. Kirjoita Yleiset tiedot - osioon säännön nimi ja kuvaus ja valitse Seuraava.

    Näyttökuva säännön luomisesta: Yleiset tiedot -sivu.

  5. Luo sääntö -osassa:

    1. Valitse taulukko, josta haluat kerätä tietoja. Lisätietoja on kohdassa Tuetut tapahtumataulukot.
    2. Valitse toiminto, jota varten haluat kerätä tietoja.
    3. Lisää säännön ehdot, jos haluat suodattaa tietoja vielä enemmän. Voit lisätä useita ehtoja tietojen keräämisen hienosäätämiseksi. Säännön ehdot perustuvat valittuun taulukkoon. Lisätietoja on kohdassa Tuetut tapahtumataulukot vastaavan taulukon linkki.

    Näyttökuva säännön luomisesta: Luo sääntö -sivu.

  6. Valitse Seuraava.

  7. Valitse Määritä säännön vaikutusalue -osiossa, haluatko kerätä tietoja kaikista soveltuvista asiakaslaitteista vai tietyistä laitteista, jotka sisältävät dynaamisia tunnisteita. Lisätietoja on kohdassa Dynaamisten sääntöjen luominen laitteille resurssisääntöjen hallinnassa.

    Näyttökuva säännön luomisesta: Määritä käyttöalue -sivu.

    Huomautus

    Mukautettu tiedonkeruu tukee vain dynaamisia tunnisteita.

  8. Tarkista sääntöasetukset Tarkista ja viimeistele -osiossa ja valitse Lähetä.

    Näyttökuva säännön luomisesta: Tarkista ja viimeistele sivu.

Säännön käyttöönotto kohteena oleville laitteille voi kestää jopa tunnin.

Valvonta ja vianmääritys

Jos säännöt eivät toimi odotetulla tavalla:

  • Luo yleinen sääntö odottamattoman käyttötapauksen tapahtumien keräämiseksi. Voit esimerkiksi luoda säännön, joka kerää kaikki verkkotapahtumat, joissa port not equals 0.
  • Käytä yksittäisiä suodattimia ja tunnisteita ongelmien eristämiseksi.
  • Jos laite ei vastaa ominaisuuden käyttöönoton jälkeen, käynnistä laite uudelleen.

Tarkastele näitä huomioon otettavia seikkoja mukautettujen tiedonkeruusääntöjen seurannassa ja vianmäärityksessä:

  • Päätepisteen tunnistuksen ja vastauksen (EDR) poikkeukset saattavat ohittaa mukautetut kokoelmasäännöt.
  • Dynaamiset tunnisteet päivittyvät noin tunnin välein. Tarkista tila Mukautetun kokoelman>Edellisen suorituksen aika -sarakkeesta.

Mukautettujen tiedonkeräyssääntöjen muokkaaminen, poistaminen ja poistaminen käytöstä

  • Jos haluat muokata sääntöä, siirry kohtaan Asetukset>Päätepisteet>Säännöt>Mukautettu kokoelma, valitse sääntö, jota haluat muokata, ja valitse Muokkaa.
  • Jos haluat poistaa säännön käytöstä tai ottaa sen käyttöön, valitse sääntö, jota haluat muokata, ja valitse säännön kuvauksesta Ota käyttöön -valintaruutu tai poista sen valinta. Kun poistat säännön käytöstä, kyseisen säännön tietojen kerääminen pysähtyy kaikissa kohdennetuissa laitteissa.
  • Jos haluat poistaa säännön, valitse poistettava sääntö ja valitse Poista. Kun poistat säännön, sääntö poistetaan pysyvästi järjestelmästä.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.

  • Last updated on