Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
La collecte de données personnalisées (préversion) permet aux organisations d’étendre et de personnaliser la collecte de données de télémétrie au-delà des configurations par défaut pour prendre en charge les besoins spécialisés en matière de repérage des menaces et de surveillance de la sécurité.
Les règles de collecte de données personnalisées vous permettent de définir des événements spécifiques et d’analyser les données pour améliorer votre visibilité de sécurité et vos opérations de repérage des menaces. Les règles de collecte de données personnalisées sont basées sur des filtres personnalisés pour les propriétés d’événement telles que les chemins d’accès aux dossiers, les noms de processus et les connexions réseau.
Cet article explique comment créer et gérer des règles de collecte de données personnalisées dans le portail Microsoft Defender.
Créer des règles de collecte de données personnalisées
Configuration requise
Pour utiliser la collecte de données personnalisée, case activée que vous disposez des prérequis suivants :
- Une licence Microsoft Defender pour point de terminaison P2.
- Un espace de travail Microsoft Sentinel connecté : requis pour le stockage et l’interrogation de données personnalisés. Actuellement, vous ne pouvez connecter qu’un seul espace de travail Sentinel par locataire Defender pour point de terminaison pour la collecte de données personnalisée.
Remarque
Même si vous disposez d’un espace de travail Microsoft Sentinel connecté, vous devez toujours sélectionner l’espace de travail lors de la création d’une règle de collecte de données personnalisée. Pour plus d’informations, consultez Créer des règles.
- Balises dynamiques configurées dans Gestion des règles de ressources pour le ciblage d’appareil. Pour utiliser une balise pour la collecte de données personnalisées, la balise doit être exécutée au moins une fois.
Systèmes d’exploitation pris en charge
-
Windows 10 et 11 avec une version minimale du client Defender pour point de terminaison 10.8805.
- Windows 10 nécessite l’inscription au programme ESU (Extended Security Mises à jour).
- Windows Server 2019 et versions ultérieures.
Performances et limites
- Chaque règle de regroupement peut capturer jusqu’à 25 000 événements par appareil dans une fenêtre propagée de 24 heures. Une fois que l’appareil atteint la limite, la télémétrie de la règle spécifique sur l’appareil spécifique s’arrête jusqu’à ce que la fenêtre se réinitialise.
- Si l’appareil atteint le seuil au début du cycle, la reprise de la télémétrie peut prendre jusqu’à 24 heures. Par exemple, si l’appareil atteint la limite une heure après la réinitialisation de la fenêtre, la télémétrie reprend au bout de 23 heures.
- Si l’appareil atteint le seuil vers la fin de la fenêtre, le délai est plus court. Par exemple, si l’appareil atteint la limite deux heures avant la réinitialisation de la fenêtre, la télémétrie reprend au bout de deux heures.
- Le déploiement de règle prend généralement de 20 minutes à une heure.
- La collecte personnalisée fonctionne avec la configuration par défaut de Defender pour point de terminaison sans interférence.
Coûts des données
La collecte de données personnalisées est incluse dans les licences Microsoft Defender pour point de terminaison P2. Toutefois, l’ingestion de données dans Microsoft Sentinel espaces de travail entraîne des frais en fonction de votre arrangement de facturation Sentinel.
Créer des règles
Dans le portail Microsoft Defender, accédez à Paramètres Règles>de>point de terminaison>Collecte de données personnalisée.
Pour intégrer votre espace de travail Microsoft Sentinel, en haut à droite, sélectionnez le nom de l’espace de travail Microsoft Sentinel.
Dans la page Étendue de l’espace de travail, sélectionnez votre espace de travail.
Remarque
Vous devez sélectionner l’espace de travail à ce stade, même si vous disposez déjà d’un espace de travail Microsoft Sentinel connecté.
Sélectionnez Créer une règle. Dans la section Informations générales , tapez un nom de règle et une description, puis sélectionnez Suivant.
Dans la section Créer une règle :
- Sélectionnez la table à partir de laquelle vous souhaitez collecter des données. Pour plus d’informations, consultez Tables d’événements prises en charge.
- Sélectionnez l’action pour laquelle vous souhaitez collecter des données.
- Ajoutez des conditions de règle pour filtrer encore davantage les données. Vous pouvez ajouter plusieurs conditions pour affiner la collection de données. Les conditions de règle sont basées sur la table sélectionnée. Pour plus d’informations, consultez le lien de table respective sous Tables d’événements prises en charge.
Sélectionnez Suivant.
Dans la section Définir l’étendue de la règle, indiquez si vous souhaitez collecter des données à partir de tous les appareils clients applicables ou d’appareils spécifiques qui incluent des balises dynamiques. Pour plus d’informations, consultez Créer des règles dynamiques pour les appareils dans la gestion des règles de ressources.
Remarque
La collecte de données personnalisées prend uniquement en charge les balises dynamiques.
Dans la section Vérifier et terminer , passez en revue vos paramètres de règle, puis sélectionnez Envoyer.
Le déploiement de la règle sur les appareils ciblés peut prendre jusqu’à une heure.
Surveiller et résoudre les problèmes
Si les règles ne fonctionnent pas comme prévu :
- Créez une règle générale pour collecter des événements dans un cas d’usage inattendu. Par exemple, créez une règle qui collecte tous les événements réseau où
port not equals 0. - Appliquez des filtres et des étiquettes individuels pour isoler les problèmes.
- Si un appareil ne répond pas après avoir activé la fonctionnalité, redémarrez-le.
Passez en revue ces considérations lors de la surveillance et de la résolution des problèmes liés aux règles de collecte de données personnalisées :
- Les exclusions de détection et de réponse de point de terminaison (EDR) peuvent remplacer les règles de collecte personnalisées.
- Les balises dynamiques sont mises à jour environ toutes les heures. Vérifiez la colonne Collection personnalisée> Heure de ladernière exécution pour la status.
Modifier, supprimer et activer ou désactiver des règles de collecte de données personnalisées
- Pour modifier une règle, accédez à Paramètres>Règles> depoint de terminaison>Collection personnalisée, sélectionnez la règle que vous souhaitez modifier, puis sélectionnez Modifier.
- Pour désactiver ou activer une règle, sélectionnez la règle que vous souhaitez modifier, puis sélectionnez ou désactivez la zone Activer case activée sous la description de la règle. Lorsque vous désactivez une règle, la collecte de données pour cette règle s’arrête sur tous les appareils ciblés.
- Pour supprimer une règle, sélectionnez la règle que vous souhaitez supprimer, puis sélectionnez Supprimer. Lorsque vous supprimez une règle, la règle est définitivement supprimée du système.
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.