יצירה וניהול של כללי איסוף נתונים מותאמים אישית ב- Microsoft Defender עבור נקודת קצה (תצוגה מקדימה)

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

איסוף נתונים מותאם אישית (Preview) מאפשר לארגונים להרחיב ולהתאים אישית איסוף מדידת שימוש מעבר לתצורות ברירת המחדל כדי לתמוך בצרכים מיוחדים של ציד איומים וניטור אבטחה.

כללי איסוף נתונים מותאמים אישית מאפשרים לך להגדיר אירועים ספציפיים ולנתח את הנתונים כדי לשפר את הניראות של האבטחה ואת פעולות ציד האיומים שלך. כללי איסוף נתונים מותאמים אישית מבוססים על מסננים מותאמים אישית עבור מאפייני אירוע כגון נתיבי תיקיה, שמות תהליך וחיבורי רשת.

מאמר זה מראה לך כיצד ליצור ולנהל כללי איסוף נתונים מותאמים אישית בפורטל Microsoft Defender אישית.

יצירת כללי איסוף נתונים מותאמים אישית

דרישות מוקדמות

כדי להשתמש באיסוף נתונים מותאם אישית, ודא שיש לך את הדרישות המוקדמות הבאות:

• רשיון Microsoft Defender עבור נקודת קצה P2.
• סביבת Microsoft Sentinel עבודה מחוברת: נדרשת לאחסון נתונים ולצורך ביצוע שאילתות בנתונים מותאמים אישית. בשלב זה ניתן לחבר רק סביבת עבודה Sentinel עבודה אחת לכל דייר של נקודות קצה של Defender עבור איסוף נתונים מותאם אישית.

  הערה

  גם אם יש לך סביבת עבודה Microsoft Sentinel עבודה, עדיין עליך לבחור את סביבת העבודה בעת יצירת כלל מותאם אישית של איסוף נתונים. לקבלת מידע נוסף, ראה יצירת כללים.

• תגיות דינאמיות שהוגדרו בניהול כללי נכסים עבור פילוח מכשירים. כדי להשתמש בתגית עבור איסוף נתונים מותאם אישית, יש להפעיל את התג לפחות פעם אחת.

מערכות הפעלה נתמכות

• Windows 10 ו- 11 עם גירסת לקוח מינימלית של Defender for Endpoint של 10.8805.
  • Windows 10 נדרשת הרשמה לתוכנית עדכוני אבטחה מורחבים (עדכונים (ESU).
• Windows Server 2019 ואילך.

ביצועים ומגבלות

• כל כלל אוסף יכול ללכוד עד 25,000 אירועים לכל מכשיר בחלון גדוש של 24 שעות. לאחר שהמכשיר מגיע למגבלה, מדידת השימוש עבור הכלל הספציפי במכשיר הספציפי מפסיקה עד ל איפוס החלון.
  • אם המכשיר מגיע לסף בתחילת המחזור, ייתכן שמדידת השימוש תחודש עד 24 שעות. לדוגמה, אם המכשיר יגיע למגבלה שעה לאחר איפוס החלון, מדידת השימוש תחודש לאחר 23 שעות.
  • אם המכשיר מגיע לסף בסמוך לסוף החלון, ההשהיה קצרה יותר. לדוגמה, אם המכשיר מגיע למגבלה שעתיים לפני איפוס החלון, מדידת השימוש מחדשת לאחר שעתיים.
• פריסת הכלל נמשכת בדרך כלל 20 דקות עד שעה אחת.
• אוסף מותאם אישית פועל לצד תצורת ברירת המחדל של Defender עבור נקודת קצה ללא הפרעות.

עלויות נתונים

איסוף נתונים מותאם אישית כלול ברישוי Microsoft Defender עבור נקודת קצה P2. עם זאת, גישת נתונים Microsoft Sentinel סביבות עבודה כרוכות בחיובים בהתבסס על הסדר Sentinel החיוב שלך.

יצירת כללים

1. בפורטל Microsoft Defender, נווט אל אוסף נתונים>מותאם אישית של כללי>נקודות>קצה של הגדרות.

2. כדי לקלוט את סביבת Microsoft Sentinel שלך, בחלק השמאלי העליון, בחר את Microsoft Sentinel סביבת העבודה.

   

3. בדף הטווח של סביבת העבודה , בחר את סביבת העבודה שלך.

   

   הערה

   עליך לבחור את סביבת העבודה בשלב זה, גם אם כבר יש לך סביבת עבודה Microsoft Sentinel עבודה.

4. בחר צור כלל. במקטע מידע כללי , הקלד שם כלל ותיאור ובחר הבא.

   

5. במקטע יצירת כלל :

   1. בחר את הטבלה שממנה ברצונך לאסוף נתונים. לקבלת מידע נוסף, ראה טבלאות אירועים נתמכות.
   2. בחר את הפעולה שעבורה ברצונך לאסוף נתונים.
   3. הוסף תנאי כלל כדי לסנן את הנתונים עוד יותר. באפשרותך להוסיף תנאים מרובים כדי למקד את איסוף הנתונים. תנאי הכלל מבוססים על הטבלה שנבחרה. לקבלת מידע נוסף, עיין בקישור הטבלה המתאים תחת טבלאות אירועים נתמכות.

   

6. בחר באפשרות הבא.

7. במקטע הגדרת טווח כלל, בחר אם ברצונך לאסוף נתונים מכל מכשירי הלקוח הרלוונטיים או ממכשירים ספציפיים הכוללים תגיות דינאמיות. לקבלת מידע נוסף, ראה יצירת כללים דינאמיים עבור מכשירים בניהול כללי נכסים.

   

   הערה

   איסוף נתונים מותאם אישית תומך בתגיות דינאמיות בלבד.

8. במקטע סקירה וסיום , סקור את הגדרות הכלל שלך ובחר שלח.

   

פריסת הכלל במכשירים הייעדים עשויה להימשך עד שעה.

ניטור ופתרון בעיות

אם כללים אינם פועלים כצפוי:

• צור כלל רחב כדי לאסוף אירועים במקרה שימוש בלתי צפוי. לדוגמה, צור כלל שאוסף את כל אירועי הרשת שבהם port not equals 0.
• החל מסננים ותגיות בודדים כדי לבודד בעיות.
• אם מכשיר אינו מגיב לאחר הפיכת התכונה לזמינה, אתחל מחדש את המכשיר.

סקור שיקולים אלה בעת ניטור ופתרון בעיות של כללי איסוף נתונים מותאמים אישית:

• אי-הכללות של זיהוי נקודות קצה ותגובה (EDR) עשויות לעקוף כללי איסוף מותאמים אישית.
• תגיות דינאמיות מתעדכנת מדי שעה בערך. בדוק את המצב בעמודה זמן>ריצה אחרון של אוסף מותאם אישית.

עריכה, מחיקה והפעלה או ביטול של כללי איסוף נתונים מותאמים אישית

• כדי לערוך כלל, נווט אל אוסף>מותאם>> אישית של כללי נקודות קצה שלהגדרות, בחר את הכלל שברצונך לערוך ובחר ערוך.
• כדי להפוך כלל ללא זמין או להפוך אותו לזמין, בחר את הכלל שברצונך לשנות ובחר או נקה את תיבת הסימון הפוך לזמין תחת תיאור הכלל. בעת הפיכת כלל ללא זמין, איסוף הנתונים עבור כלל זה נפסק בכל המכשירים הייעדים.
• כדי למחוק כלל, בחר את הכלל שברצונך למחוק ובחר מחק. בעת מחיקת כלל, הכלל מוסר לצמיתות מהמערכת.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.