Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
La collecte de données personnalisées (préversion) permet aux organisations d’étendre et de personnaliser la collecte de données de télémétrie au-delà des configurations par défaut pour prendre en charge les besoins spécialisés en matière de repérage des menaces et de surveillance de la sécurité. Cette fonctionnalité permet aux équipes de sécurité de définir des règles de collecte spécifiques avec des filtres personnalisés pour les propriétés d’événement, telles que les chemins d’accès aux dossiers, les noms de processus et les connexions réseau.
Cet article fournit une vue d’ensemble de la collecte de données personnalisée afin que vous puissiez comprendre les fonctionnalités de la fonctionnalité et comment elle améliore la visibilité de la sécurité et les opérations de repérage des menaces.
Fonctionnement de la collecte de données personnalisées
La collecte de données personnalisée utilise un filtrage basé sur des règles pour capturer des événements spécifiques à partir d’appareils de point de terminaison et les acheminer vers votre espace de travail Microsoft Sentinel à des fins d’analyse et de repérage des menaces.
Les règles de collection personnalisées vous permettent de définir les événements spécifiques que vous souhaitez capturer et les conditions dans lesquelles ils doivent être collectés.
Pour créer des règles de collecte de données personnalisées, consultez Créer des règles de collecte de données personnalisées.
Tables d’événements prises en charge
La collecte de données personnalisées prend en charge les tables d’événements suivantes.
| Nom du tableau | Description | En savoir plus |
|---|---|---|
| DeviceCustomProcessEvents | Stocke des données sur la création, l’arrêt et d’autres activités liées au processus. | Informations de référence sur le schéma dans le portail ou sur la table DeviceProcessEvents |
| DeviceCustomImageLoadEvents | Stocke des données sur les événements de chargement d’images, y compris des détails sur les images chargées et leurs origines. | Informations de référence sur le schéma dans le portail ou informations de référence sur la table DeviceImageLoadEvents |
| DeviceCustomFileEvents | Stocke les données sur les activités de création, de modification, de suppression et d’accès de fichiers. | Informations de référence sur le schéma dans le portail ou sur la table DeviceFileEvents |
| DeviceCustomNetworkEvents | Stocke des données sur les événements de connexion réseau, y compris les adresses IP, les ports et les protocoles. | Informations de référence sur le schéma dans le portail ou informations de référence sur la table DeviceNetworkEvents |
| DeviceCustomScriptEvents | Stocke les données sur l’exécution du script et les détails du processus liés à toute demande de collecte explicite du client. Cette table est un nouvel ajout et n’a pas de référence dans les tables d’événements par défaut. | Informations de référence sur le schéma dans le portail |
Flux de données et intégration
Il s’agit du flux de données classique pour la collecte de données personnalisée :
- Définissez des règles de collecte dans le portail Microsoft Defender avec des filtres et des cibles d’appareil spécifiques.
- Les règles sont transmises aux points de terminaison ciblés, généralement dans un délai de 20 minutes à une heure.
- Les points de terminaison collectent les événements correspondant à vos critères de règle, ainsi que les données de télémétrie par défaut.
- Les données d’événement personnalisées sont transmises à votre espace de travail Microsoft Sentinel connecté.
- Interrogez des données personnalisées à l’aide des tables d’événements prises en charge pour en savoir plus sur des activités spécifiques sur vos points de terminaison.
Foire aux questions
La collecte de données personnalisées affecte-t-elle la configuration par défaut de Defender pour point de terminaison ?
Non, les règles de collecte de données personnalisées vivent côte à côte avec la configuration prête à l’emploi de Defender pour point de terminaison.
Un espace de travail Microsoft Sentinel est-il nécessaire ?
Oui, vous avez besoin d’un espace de travail Microsoft Sentinel connecté pour créer des règles de collecte de données personnalisées. Pour plus d’informations, consultez les conditions préalables.
Vous devez également sélectionner l’espace de travail Microsoft Sentinel lors de la création d’une règle de collecte de données personnalisée. Pour plus d’informations, consultez Créer des règles.
Comment savoir si une règle a atteint le point de terminaison ?
Vous pouvez interroger les événements collectés par la règle appropriée, pour le point de terminaison spécifique. Par exemple, la requête suivante retourne toutes les règles effectives sur le point de terminaison (maintenant et par le passé), en comptant les événements collectés des règles.
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize count() by RuleName, RuleLastModificationTime, $table
La collecte de données personnalisées entraîne-t-elle des coûts supplémentaires ?
Consultez Coûts des données.
Quelles sont les versions clientes et les systèmes d’exploitation actuellement pris en charge ?
Consultez Systèmes d’exploitation pris en charge. Pour interroger la version de votre client , utilisez la colonne ClientVersion dans la table DeviceInfo .
Les balises manuelles (statiques) sont-elles prises en charge ?
Non, nous ne prenons actuellement en charge que les balises dynamiques. Toutefois, vous pouvez créer des balises dynamiques à partir de balises manuelles dans Paramètres > Microsoft Defender XDR > Gestion des règles de ressources. Pour plus d’informations, consultez Configurer des règles dynamiques pour les appareils dans la gestion des règles de ressources.
Comment puis-je collecter tous les événements pour un type d’événement spécifique ?
Consultez Surveiller et résoudre les problèmes.
Étapes suivantes
- Découvrez comment créer et gérer des règles de collecte de données personnalisées
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.