דיווח מצטבר ב- Microsoft Defender עבור נקודת קצה
חשוב
חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
אילוצים של כתובות דיווח מצטברות על דיווח על אירועים Microsoft Defender עבור נקודת קצה. דיווח מצטבר מרחיב את מרווחי הדיווח של אותות כדי להקטין באופן משמעותי את הגודל של אירועים שדווחו תוך שמירה על מאפייני אירוע חיוניים.
Defender for Endpoint מפחית את הרעש בנתונים שנאספו כדי לשפר את יחס האות לרעש תוך איזון הביצועים והיעילות של המוצר. הוא מגביל את איסוף הנתונים כדי לשמור על יתרה זו.
עם דיווח מצטבר, Defender for Endpoint מבטיח שכל מאפייני האירוע החיוניים בעלי ערך לפעילויות חקירה ואיומים נאספים ברציפות. הוא עושה זאת על-ידי מרווחי דיווח מורחבים של שעה אחת, מה שמפחית את הגודל של אירועים שדווחו ומאפשר איסוף נתונים יעיל אך בעל ערך.
כאשר דיווח מצטבר מופעל, באפשרותך לבצע שאילתה עבור סיכום של כל סוגי האירועים הנתמכים, כולל מדידת שימוש עם יעילות נמוכה, שבה תוכל להשתמש לפעילויות חקירה וה ציד.
דרישות מוקדמות
יש להשלים את הדרישות הבאות לפני הפעלת דיווח מצטבר:
- רשיון Defender for Endpoint Plan 2
- הרשאות לה הפיכת תכונות מתקדמות לזמינות
דיווח מצטבר תומך בפעולות הבאות:
- גירסת לקוח: Windows גירסה 2411 ואילך
- מערכות הפעלה: Windows 11 22H2, Windows Server 2022, Windows 11 מיזם של, Windows 10 20H2, 21H1, 21H2, Windows Server גירסה 20H2 ו- Windows Server 2019
הפעלת דיווח מצטבר
כדי להפעיל דיווח מצטבר, עבור אל הגדרות > נקודות קצה תכונות > מתקדמות. הפעל את תכונת הדיווח המצטברת .
לאחר הפעלת הדיווח המצטבר, ייתכן שחלפו עד שבעה ימים עד שדוחות מצטברים יהפכו לזמינים. לאחר מכן תוכל להתחיל לבצע שאילתה על נתונים חדשים לאחר הפעלת התכונה.
בעת ביטול הדיווח המצטבר, החלת השינויים תחלוף כמה שעות. כל הנתונים שנאספו בעבר נשארים.
דוחות מצטברים של שאילתה
דיווח מצטבר תומך בסוגי האירועים הבאים:
סוג פעולה | שולחן ציד מתקדם | מצגת ציר זמן של מכשיר | מאפיינים |
---|---|---|---|
FileCreatedAggregatedReport | DeviceFileEvents | {ProcessName} יצר {Occurrences} קבצי {FilePath} | 1. נתיב קובץ 2. סיומת קובץ 3. שם תהליך |
FileRenamedAggregatedReport | DeviceFileEvents | שם {ProcessName} השתנה ל- {Occurrences} קבצי {FilePath} | 1. נתיב קובץ 2. סיומת קובץ 3. שם תהליך |
FileModifiedAggregatedReport | DeviceFileEvents | {ProcessName} שינה {Occurrences} קבצי {FilePath} | 1. נתיב קובץ 2. סיומת קובץ 3. שם תהליך |
ProcessCreatedAggregatedReport | DeviceProcessEvents | {InitiatingProcessName} יצר {Occurrences} תהליכי {ProcessName} | 1. מאתחל את שורת הפקודה של התהליך 2. מאתחל תהליך SHA1 3. מאתחל נתיב קובץ תהליך 4. עבד שורת פקודה 5. תהליך SHA1 6. נתיב תיקיה |
ConnectionSuccessAggregatedReport | DeviceNetworkEvents | {InitiatingProcessName} הקים חיבורי {Occurrences} עם {RemoteIP}:{RemotePort} | 1. מאתחל את שם התהליך 2. IP 3 של מקור. IP מרוחק 4. יציאה מרוחקת |
ConnectionFailedAggregatedReport | DeviceNetworkEvents | {InitiatingProcessName} לא הצליח ליצור חיבורי {Occurrences} עם {RemoteIP:RemotePort} | 1. מאתחל את שם התהליך 2. IP 3 של מקור. IP מרוחק 4. יציאה מרוחקת |
LogonSuccessAggregatedReport | DeviceLogonEvents | {מופעים} {LogonType} כניסות מאת {UserName}\{DomainName} | 1. Target username 2. SID 3 של משתמש היעד. Target domain name 4. סוג כניסה |
LogonFailedAggregatedReport | DeviceLogonEvents | {מופעים}{LogonType} כניסות נכשלו על-ידי {UserName}\{DomainName} | 1. Target username 2. SID 3 של משתמש היעד. Target domain name 4. סוג כניסה |
הערה
הפעלת דיווח מצטבר משפרת את ניראות האות, דבר שעשוי לצבור עלויות אחסון גבוהות יותר אם אתה מזרים את Defender for Endpoint טבלאות ציד מתקדמות לפתרונות האחסון או ה- SIEM שלך.
כדי לבצע שאילתה על נתונים חדשים עם דוחות מצטברים:
- עבור אל התגובה & ציד > כללי זיהוי > מותאמים אישית.
- סקור ושנה כללים ושאילתות קיימים שעשויים להיות מושפעים מהדיווח המצטבר.
- בעת הצורך, צור כללים מותאמים אישית חדשים כדי לשלב סוגי פעולות חדשים.
- עבור לדף 'ציד מתקדם ' ובצע שאילתה על הנתונים החדשים.
להלן דוגמה לתוצאות מתקדמות של שאילתות ציד עם דוחות מצטברים.
שאילתות ציד מתקדמות לדוגמה
באפשרותך להשתמש בשאילתות KQL הבאות כדי לאסוף מידע ספציפי באמצעות דיווח מצטבר.
שאילתה עבור פעילות בתהליך של פריטים לא קיימים
השאילתה הבאה מדגישה פעילות בתהליך בקול, שניתן להתאים אותה לאותות זדוניים.
DeviceProcessEvents
| where Timestamp > ago(1h)
| where ActionType == "ProcessCreatedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| project-reorder Timestamp, uniqueEventsAggregated, ProcessCommandLine, InitiatingProcessCommandLine, ActionType, SHA1, FolderPath, InitiatingProcessFolderPath, DeviceName
| sort by uniqueEventsAggregated desc
שאילתה עבור כשלים בניסיון כניסה חוזר
השאילתה הבאה מזהה כשלים של ניסיון כניסה חוזר.
DeviceLogonEvents
| where Timestamp > ago(30d)
| where ActionType == "LogonFailedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder Timestamp, DeviceId, uniqueEventsAggregated, LogonType, AccountName, AccountDomain, AccountSid
| sort by uniqueEventsAggregated desc
שאילתה עבור חיבורי RDP חשודים
השאילתה הבאה מזהה חיבורי RDP חשודים, מה שעשוי להצביע על פעילות זדונית.
DeviceNetworkEvents
| where Timestamp > ago(1d)
| where ActionType endswith "AggregatedReport"
| where RemotePort == "3389"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder ActionType, Timestamp, uniqueEventsAggregated
| sort by uniqueEventsAggregated desc