Megosztás a következőn keresztül:

Egyéni adatgyűjtési szabályok létrehozása és kezelése a Végponthoz készült Microsoft Defender-ben (előzetes verzió)

  • A következőre érvényes:: Microsoft Defender for Endpoint

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Az egyéni adatgyűjtés (előzetes verzió) lehetővé teszi a szervezetek számára, hogy az alapértelmezett konfigurációkon túl bővítsék és testre szabják a telemetriai gyűjteményt a speciális veszélyforrás-keresési és biztonsági monitorozási igények támogatása érdekében.

Az egyéni adatgyűjtési szabályok lehetővé teszik adott események meghatározását és az adatok elemzését a biztonsági láthatóság és a veszélyforrás-keresési műveletek javítása érdekében. Az egyéni adatgyűjtési szabályok az eseménytulajdonságok, például a mappaelérési utak, a folyamatnevek és a hálózati kapcsolatok testreszabott szűrőin alapulnak.

Ez a cikk bemutatja, hogyan hozhat létre és kezelhet egyéni adatgyűjtési szabályokat a Microsoft Defender portálon.

Egyéni adatgyűjtési szabályok létrehozása

Előfeltételek

Az egyéni adatgyűjtés használatához ellenőrizze, hogy rendelkezik-e a következő előfeltételekkel:

  • Egy Végponthoz készült Microsoft Defender P2 licenc.
  • Csatlakoztatott Microsoft Sentinel munkaterület: egyéni adattároláshoz és lekérdezéshez szükséges. Az egyéni adatgyűjtéshez jelenleg csak egy Sentinel munkaterületet csatlakoztathat végponthoz készült Defender-bérlőnként.

    Megjegyzés:

    Még ha van is csatlakoztatott Microsoft Sentinel-munkaterülete, akkor is ki kell választania a munkaterületet egy egyéni adatgyűjtési szabály létrehozásakor. További információ: Szabályok létrehozása.

  • Az eszközszabály-kezelésben eszközcélzáshoz konfigurált dinamikus címkék. Ha címkét szeretne használni az egyéni adatgyűjtéshez, a címkét legalább egyszer futtatnia kell.

Támogatott operációs rendszerek

  • Windows 10 és 11 a Végponthoz készült Defender ügyfélprogram minimális 10.8805-ös verziójával.
  • 2019-Windows Server és újabb verziók.

Teljesítmény és korlátok

  • Minden gyűjtési szabály eszközönként legfeljebb 25 000 eseményt rögzíthet egy 24 órás működés közbeni időszakon belül. Miután az eszköz elérte a korlátot, az adott eszközön lévő adott szabály telemetriai adatai leállnak, amíg az ablak alaphelyzetbe nem áll.
    • Ha az eszköz a ciklus elején eléri a küszöbértéket, akár 24 órába is telhet, amíg a telemetriai adatok folytatódnak. Ha például az eszköz eléri a korlátot egy órával az ablak alaphelyzetbe állítása után, a telemetriai adatok 23 óra elteltével újraindulnak.
    • Ha az eszköz eléri a küszöbértéket az ablak vége közelében, a késés rövidebb lesz. Ha például az eszköz eléri a korlátot két órával az ablak alaphelyzetbe állítása előtt, a telemetriai adatok két óra elteltével újraindulnak.
  • A szabály üzembe helyezése általában 20 percet és egy órát vesz igénybe.
  • Az egyéni gyűjtemény az alapértelmezett Végponthoz készült Defender-konfigurációval együtt működik, interferencia nélkül.

Adatköltségek

Az egyéni adatgyűjtés Végponthoz készült Microsoft Defender P2 licencelés részét képezi. A Microsoft Sentinel-munkaterületekre történő adatbetöltés azonban a Sentinel számlázási megállapodása alapján költségekkel jár.

Szabályok létrehozása

  1. A Microsoft Defender portálon lépjen a Beállítások>Végpontok>szabályok>egyéni adatgyűjtés területre.

  2. A Microsoft Sentinel munkaterület előkészítéséhez a jobb felső sarokban válassza ki a Microsoft Sentinel munkaterület nevét.

    Képernyőkép egy Microsoft Sentinel-munkaterület kiválasztásáról.

  3. A Munkaterület hatóköre lapon válassza ki a munkaterületet.

    Képernyőkép egy Microsoft Sentinel munkaterület hatókörének kiválasztásáról.

    Megjegyzés:

    Ebben a szakaszban ki kell választania a munkaterületet, még akkor is, ha már van csatlakoztatott Microsoft Sentinel munkaterülete.

  4. Válassza a Szabály létrehozása lehetőséget. Az Általános információk szakaszban írja be a szabály nevét és leírását, majd válassza a Tovább gombot.

    Képernyőkép egy szabály létrehozásáról: Általános információk lap.

  5. A Szabály létrehozása szakaszban:

    1. Válassza ki, hogy melyik táblából szeretne adatokat gyűjteni. További információ: Támogatott eseménytáblák.
    2. Válassza ki azt a műveletet, amelyhez adatokat szeretne gyűjteni.
    3. Szabályfeltételek hozzáadásával még tovább szűrhet adatokat. Az adatgyűjtés finomításához több feltételt is hozzáadhat. A szabályfeltételek a kiválasztott táblán alapulnak. További információért tekintse meg a megfelelő táblahivatkozást a Támogatott eseménytáblák területen.

    Képernyőkép egy szabály létrehozásáról: Szabály létrehozása oldal.

  6. Válassza a Tovább gombot.

  7. A Szabály hatókörének meghatározása szakaszban válassza ki, hogy az összes alkalmazható ügyféleszközről vagy dinamikus címkéket tartalmazó konkrét eszközökről szeretne-e adatokat gyűjteni. További információ: Dinamikus szabályok létrehozása eszközökhöz az eszközszabály-kezelésben.

    Képernyőkép egy szabály létrehozásáról: Hatókör definiálása oldal.

    Megjegyzés:

    Az egyéni adatgyűjtés csak a dinamikus címkéket támogatja.

  8. A Véleményezés és befejezés szakaszban tekintse át a szabálybeállításokat, és válassza a Küldés lehetőséget.

    Képernyőkép egy szabály létrehozásáról: Áttekintés és befejezés lap.

Akár egy órát is igénybe vehet, hogy a szabály üzembe legyen helyezve a megcélzott eszközökön.

Monitorozás és hibaelhárítás

Ha a szabályok nem a várt módon működnek:

  • Hozzon létre egy széles körű szabályt, amely váratlan használati esetek eseményeit gyűjti össze. Hozzon létre például egy szabályt, amely összegyűjti az összes olyan hálózati eseményt, ahol port not equals 0.
  • A problémák elkülönítéséhez alkalmazzon egyéni szűrőket és címkéket.
  • Ha egy eszköz nem válaszol a funkció engedélyezése után, indítsa újra az eszközt.

Tekintse át ezeket a szempontokat az egyéni adatgyűjtési szabályok monitorozása és hibaelhárítása során:

  • A végpontészlelés és -válasz (EDR) kizárásai felülírhatják az egyéni gyűjtési szabályokat.
  • A dinamikus címkék körülbelül óránként frissülnek. Ellenőrizze az állapotot az Egyéni gyűjtemény>Legutóbbi futtatás időpontja oszlopban.

Egyéni adatgyűjtési szabályok szerkesztése, törlése és engedélyezése vagy letiltása

  • Egy szabály szerkesztéséhez lépjen a Beállítások>Végpontok>Szabályok>egyéni gyűjtemény területre, válassza ki a szerkeszteni kívánt szabályt, és válassza a Szerkesztés lehetőséget.
  • Egy szabály letiltásához vagy engedélyezéséhez jelölje ki a módosítani kívánt szabályt, és a szabály leírása alatt jelölje be az Engedélyezés jelölőnégyzetet, vagy törölje a jelölését. Ha letilt egy szabályt, a szabály adatgyűjtése minden megcélzott eszközön leáll.
  • Szabály törléséhez jelölje ki a törölni kívánt szabályt, és válassza a Törlés lehetőséget. Ha töröl egy szabályt, a rendszer véglegesen eltávolítja a szabályt a rendszerből.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.

  • Last updated on