Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tärkeää
Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.
Mukautetun tiedonkeruun (esikatselu) avulla organisaatiot voivat laajentaa ja mukauttaa telemetriatietojen keräämisen oletusmääritysten lisäksi tukemaan erityisiä uhkien metsästys- ja suojauksen valvontatarpeita. Tämän ominaisuuden avulla suojaustiimit voivat määrittää tietyt keräyssäännöt tapahtumaominaisuuksille, kuten kansiopoluille, prosessinimille ja verkkoyhteyksille, mukautetuilla suodattimilla.
Tässä artikkelissa on yleiskatsaus mukautettuun tiedonkeruuseen, jotta voit ymmärtää ominaisuuden ominaisuudet ja sen, miten se parantaa suojauksen näkyvyyttä ja uhkien metsästystoimintoja.
Mukautettujen tietojen keräämisen toiminta
Mukautettujen tietojen keräämisessä käytetään sääntöpohjaista suodatusta tiettyjen tapahtumien sieppaamiseksi päätepistelaitteista ja niiden ohjaamiseksi Microsoft Sentinel työtilaan analysointia ja uhkien metsästystä varten.
Mukautettujen kokoelmasääntöjen avulla voit määrittää tietyt tapahtumat, jotka haluat siepata, ja ehdot, joiden mukaisesti ne kerätään.
Jos haluat luoda mukautettuja tiedonkeruusääntöjä, katso Mukautettujen tiedonkeräyssääntöjen luominen.
Tuetut tapahtumataulukot
Mukautettu tiedonkeruu tukee seuraavia tapahtumataulukoita.
| Taulukon nimi | Kuvaus | Lisätietoja |
|---|---|---|
| DeviceCustomProcessEvents | Tallentaa tiedot prosessin luomisesta, lopettamisesta ja muista prosessiin liittyvistä toiminnoista. | Portaalin rakenneviittaus tai DeviceProcessEvents-taulukkoviittaus |
| DeviceCustomImageLoadEvents | Tallentaa tietoja kuvien lataustapahtumista, mukaan lukien ladatut kuvat ja niiden alkuperän tiedot. | Portaalin skeemaviittaus tai DeviceImageLoadEvents-taulukkoviittaus |
| DeviceCustomFileEvents | Tallentaa tiedoston luontia, muokkaamista, poistamista ja käyttöoikeuksia koskevat tiedot. | Portaalin rakenneviittaus tai DeviceFileEvents-taulukkoviittaus |
| DeviceCustomNetworkEvents | Tallentaa tiedot verkkoyhteystapahtumiin, kuten IP-osoitteisiin, portteihin ja protokolliin. | Portaalin skeemaviittaus tai DeviceNetworkEvents-taulukkoviittaus |
| DeviceCustomScriptEvents | Tallentaa komentosarjan suoritustiedot ja prosessitiedot, jotka liittyvät mihin tahansa eksplisiittiseen asiakaspyyntöön keräystä varten. Tämä taulukko on uusi lisäys, eikä siinä ole viittausta oletustapahtumataulukoihin. | Portaalissa olevan rakenteen viittaus |
Tiedonkulku ja integrointi
Tämä on mukautettujen tietojen keräämisen tyypillinen tiedonkulku:
- Määritä keräyssäännöt Microsoft Defender portaalissa tiettyjen suodattimien ja laitekohteiden avulla.
- Säännöt siirretään kohdistettuihin päätepisteisiin yleensä 20 minuutin ja tunnin kuluessa.
- Päätepisteet keräävät tapahtumia, jotka vastaavat sääntöehtojasi, sekä oletustelemetriatietoja.
- Mukautetut tapahtumatietojen työnkulut yhdistettyyn Microsoft Sentinel työtilaan.
- Tee kysely mukautettuja tietoja käyttämällä tuettuja tapahtumataulukoita saadaksesi lisätietoja tietyistä toiminnoista päätepisteissäsi.
Usein kysytyt kysymykset
Vaikuttaako mukautettu tietojen kerääminen Oletusarvon mukaiseen Defender for Endpoint -määrityksiin?
Ei, mukautetun tiedonkeruun säännöt ovat reaaliaikaisesti vierekkäin Defender for Endpointin valmiiden määritysten kanssa.
Onko Microsoft Sentinel työtila pakollinen?
Kyllä, mukautettujen tiedonkeräyssääntöjen luomiseen tarvitaan yhdistetty Microsoft Sentinel työtila. Lisätietoja on edellytyksistä.
Sinun on myös valittava Microsoft Sentinel työtila, kun luot mukautettua tiedonkeräyssääntöä. Lisätietoja on kohdassa Sääntöjen luominen.
Mistä tiedän, onko sääntö saavuttanut päätepisteen?
Voit tehdä kyselyn asianmukaisen säännön keräämistä tapahtumista tietylle päätepisteelle. Esimerkiksi seuraava kysely palauttaa kaikki voimassa olevat säännöt päätepisteeseen (nyt ja menneisyydessä) laskemalla sääntöjen kerätyt tapahtumat.
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize count() by RuleName, RuleLastModificationTime, $table
Aiheuttaako mukautettu tietojen kerääminen lisäkustannuksia?
Katso tietojen kustannukset.
Mitä asiakasversioita ja käyttöjärjestelmiä tuetaan tällä hetkellä?
Katso tuetut käyttöjärjestelmät. Jos haluat kysellä asiakasversiotasi kehittyneessä metsästyksessä, käytä DeviceInfo-taulukonClientVersion-saraketta.
Tuetaanko manuaalisia (staattisia) tunnisteita?
Ei, tuemme tällä hetkellä vain dynaamisia tunnisteita. Voit kuitenkin luoda dynaamisia tunnisteita manuaalisista tunnisteista kohdassa Asetukset > Microsoft Defender XDR > Resurssisääntöjen hallinta. Lisätietoja on kohdassa Dynaamisten sääntöjen määrittäminen laitteille resurssisääntöjen hallinnassa.
Miten voin kerätä kaikki tapahtumat tiettyä tapahtumatyyppiä varten?
Katso Näyttö ja vianmääritys.
Seuraavat vaiheet
- Lue, miten voit luoda ja hallita mukautettuja tiedonkeruusääntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.