הערה
גישה לעמוד זה דורשת אישור. אתה יכול לנסות להיכנס או לשנות תיקיות.
גישה לעמוד זה דורשת אישור. אתה יכול לנסות לשנות מדריכים.
חשוב
חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.
איסוף נתונים מותאם אישית (Preview) מאפשר לארגונים להרחיב ולהתאים אישית איסוף מדידת שימוש מעבר לתצורות ברירת המחדל כדי לתמוך בצרכים מיוחדים של ציד איומים וניטור אבטחה. תכונה זו מאפשרת לצוותי אבטחה להגדיר כללי אוסף ספציפיים עם מסננים מותאמים אישית עבור מאפייני אירוע כגון נתיבי תיקיה, שמות תהליך וחיבורי רשת.
מאמר זה מספק מבט כולל על איסוף נתונים מותאם אישית כדי שתוכל להבין את היכולות של התכונה ואת האופן שבו היא משפרת את פעולות הניראות והאיומים של האבטחה שלך.
אופן הפעולה של איסוף נתונים מותאם אישית
איסוף נתונים מותאם אישית משתמש בסינון מבוסס כללים כדי ללכוד אירועים ספציפיים ממכשירי נקודת קצה ולנתב אותם לסביבת העבודה של Microsoft Sentinel שלך לצורך ניתוח וצייד איומים.
כללי אוסף מותאמים אישית מאפשרים לך להגדיר את האירועים הספציפיים שברצונך ללכוד ואת התנאים שבהם יש לאסוף אותם.
כדי ליצור כללי איסוף נתונים מותאמים אישית, ראה יצירת כללי איסוף נתונים מותאמים אישית.
טבלאות אירועים נתמכות
איסוף נתונים מותאם אישית תומך בטבלאות האירועים הבאות.
| שם טבלה | תיאור | מידע נוסף |
|---|---|---|
| DeviceCustomProcessEvents | מאחסן נתונים על יצירת תהליך, סיום ופעילויות אחרות הקשורות לתהליך. | הפניה לסכימות בתוך הפורטל אוהפניה לטבלה DeviceProcessEvents |
| התקןCustomImageLoadEvents | מאחסן נתונים על אירועי טעינת תמונות, כולל פרטים אודות התמונות הטעון והמקורות שלהן. | הפניה לסכימות בתוך הפורטל אוהפניה לטבלה DeviceImageLoadEvents |
| DeviceCustomFileEvents | מאחסן נתונים על פעילויות יצירה, שינוי, מחיקה וגישה של קבצים. | הפניה לסכימות בתוך הפורטל אוהפניה לטבלה DeviceFileEvents |
| התקןCustomNetworkEvents | מאחסן נתונים באירועי חיבור רשת, כולל כתובות IP, יציאות ופרוטוקולים. | הפניה לסכימות בתוך הפורטל אוהפניה לטבלה DeviceNetworkEvents |
| DeviceCustomScriptEvents | מאחסן נתונים על ביצוע קובץ Script ופרטי תהליך הקשורים לכל בקשת לקוח מפורשת לאיסוף. טבלה זו היא תוספת חדשה ללא הפניה בטבלאות האירוע המוגדרות כברירת מחדל. | הפניה בסכימה בתוך הפורטל |
זרימת נתונים ושילוב
זוהי זרימת הנתונים האופיינית לאיסוף נתונים מותאם אישית:
- הגדר כללי אוסף בפורטל Microsoft Defender עם מסננים ספציפיים ומטרות מכשירים ספציפיים.
- כללים משודרים ל נקודות קצה ייעודיות, בדרך כלל תוך 20 דקות עד שעה אחת.
- נקודות קצה אוספים אירועים התואמים לקריטריוני הכלל שלך לצד מדידת השימוש המוגדרת כברירת מחדל.
- נתוני אירוע מותאמים אישית זורמים לסביבת העבודה Microsoft Sentinel העבודה שלך.
- בצע שאילתה על נתונים מותאמים אישית באמצעות טבלאות האירועים הנתמכות כדי ללמוד אודות פעילויות ספציפיות ב נקודות הקצה שלך.
שאלות נפוצות
האם איסוף נתונים מותאם אישית משפיע על תצורת ברירת המחדל של Defender עבור נקודת קצה?
לא, כללי איסוף נתונים מותאמים אישית קיימים זה לצד זה עם התצורה של נקודת הקצה של Defender for End-of-the-box.
האם דרושה Microsoft Sentinel עבודה חדשה?
כן, דרושה לך סביבת עבודה Microsoft Sentinel עבודה כדי ליצור כללי איסוף נתונים מותאמים אישית. לקבלת מידע נוסף, עיין בדרישות המוקדמות.
עליך גם לבחור את סביבת העבודה של Microsoft Sentinel בעת יצירת כלל מותאם אישית של איסוף נתונים. לקבלת מידע נוסף, ראה יצירת כללים.
כיצד אוכל לדעת אם כלל הגיע אל נקודת הקצה?
באפשרותך לבצע שאילתה עבור אירועים שנאספו על-ידי הכלל הרלוונטי, עבור נקודת הקצה הספציפית. לדוגמה, השאילתה הבאה מחזירה את כל הכללים האפקטיביים ב נקודת הקצה (כעת ובעבר), ספירת האירועים שנאספו על-ידי הכללים.
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize count() by RuleName, RuleLastModificationTime, $table
האם איסוף נתונים מותאם אישית כרוך בעלויות נוספות?
ראה עלויות נתונים.
אילו גירסאות לקוח ומערכות הפעלה נתמכות כעת?
ראה מערכות הפעלה נתמכות. כדי לבצע שאילתה על גירסת הלקוח שלך, בשלבי ציד מתקדמים, השתמש בעמודה ClientVersionבטבלה DeviceInfo .
האם קיימת תמיכה בתגיות ידניות (סטטיות)?
לא, אנו תומכים בשלב זה בתגיות דינאמיות בלבד. עם זאת, באפשרותך ליצור תגיות דינאמיות מתוך תגיות ידניות תחת הגדרות Microsoft Defender XDR >> כללים של נכסים. לקבלת מידע נוסף, ראה קביעת תצורה של כללים דינאמיים עבור מכשירים בניהול כללי נכסים.
כיצד ניתן לאסוף את כל האירועים עבור סוג אירוע ספציפי?
ראה ניטור ופתרון בעיות.
השלבים הבאים
- למד כיצד ליצור ולנהל כללי איסוף נתונים מותאמים אישית
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.