Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Az egyéni adatgyűjtés (előzetes verzió) lehetővé teszi a szervezetek számára, hogy az alapértelmezett konfigurációkon túl bővítsék és testre szabják a telemetriai gyűjteményt a speciális veszélyforrás-keresési és biztonsági monitorozási igények támogatása érdekében. Ez a funkció lehetővé teszi a biztonsági csapatok számára, hogy meghatározott gyűjtési szabályokat határozzanak meg az eseménytulajdonságokra, például a mappaelérési utakra, a folyamatnevekre és a hálózati kapcsolatokra szabott szűrőkkel.
Ez a cikk áttekintést nyújt az egyéni adatgyűjtésről, hogy megismerhesse a funkció képességeit, és hogy hogyan javítja a biztonsági láthatóságot és a veszélyforrás-keresési műveleteket.
Az egyéni adatgyűjtés működése
Az egyéni adatgyűjtés szabályalapú szűréssel rögzíti a végponteszközök bizonyos eseményeit, és azokat a Microsoft Sentinel munkaterületre irányítja elemzés és veszélyforrás-keresés céljából.
Az egyéni gyűjtési szabályok segítségével meghatározhatja a rögzíteni kívánt eseményeket, valamint azokat a feltételeket, amelyek alapján összegyűjteni szeretné őket.
Egyéni adatgyűjtési szabályok létrehozásához lásd: Egyéni adatgyűjtési szabályok létrehozása.
Támogatott eseménytáblák
Az egyéni adatgyűjtés a következő eseménytáblákat támogatja.
| Táblanév | Leírás | További információ |
|---|---|---|
| DeviceCustomProcessEvents | A folyamatlétrehozásról, a leállításról és a folyamattal kapcsolatos egyéb tevékenységekről tárol adatokat. | Portálon belüli sémahivatkozás vagy DeviceProcessEvents táblahivatkozás |
| DeviceCustomImageLoadEvents | A rendszerképbetöltési események adatait tárolja, beleértve a betöltött képek részleteit és azok eredetét. | Portálon belüli sémahivatkozás vagy DeviceImageLoadEvents táblahivatkozás |
| DeviceCustomFileEvents | Fájllétrehozás, -módosítás, -törlés és -hozzáférési tevékenységek adatait tárolja. | Portálon belüli sémahivatkozás vagy DeviceFileEvents táblahivatkozás |
| DeviceCustomNetworkEvents | Hálózati kapcsolati események adatait tárolja, beleértve az IP-címeket, portokat és protokollokat. | Portálon belüli sémahivatkozás vagy DeviceNetworkEvents táblahivatkozás |
| DeviceCustomScriptEvents | A szkriptek végrehajtásával és a feldolgozás részleteivel kapcsolatos adatokat tárolja, amelyek az ügyfelek kifejezett gyűjtési kérelmeihez kapcsolódnak. Ez a tábla egy új hozzáadás, és nincs hivatkozás az alapértelmezett eseménytáblákban. | Portálon belüli sémareferencia |
Adatfolyam és integráció
Ez az egyéni adatgyűjtés jellemző adatfolyama:
- Gyűjtési szabályokat határozhat meg a Microsoft Defender portálon adott szűrőkkel és eszközcélokkal.
- A szabályok továbbítása a megcélzott végpontokra jellemzően 20 perc és egy óra között történik.
- A végpontok az alapértelmezett telemetriával együtt gyűjtik a szabályfeltételeknek megfelelő eseményeket.
- Az egyéni eseményadatok a csatlakoztatott Microsoft Sentinel-munkaterületre áramlik.
- Egyéni adatok lekérdezése a támogatott eseménytáblák használatával a végpontokon végzett konkrét tevékenységek megismeréséhez.
Gyakori kérdések
Hatással van az egyéni adatgyűjtés a Végponthoz készült Defender alapértelmezett konfigurációjára?
Nem, az egyéni adatgyűjtési szabályok egymás mellett élnek a Végponthoz készült Defender beépített konfigurációjával.
Szükség van Microsoft Sentinel munkaterületre?
Igen, az egyéni adatgyűjtési szabályok létrehozásához csatlakoztatott Microsoft Sentinel-munkaterületre van szükség. További információkért lásd az előfeltételeket.
Egyéni adatgyűjtési szabály létrehozásakor a Microsoft Sentinel munkaterületet is ki kell választania. További információ: Szabályok létrehozása.
Honnan tudhatom, hogy egy szabály elérte-e a végpontot?
Lekérdezheti a vonatkozó szabály által gyűjtött eseményeket az adott végpontra vonatkozóan. A következő lekérdezés például visszaadja a végpont összes érvényes szabályát (most és a múltban), számolva a szabályok összegyűjtött eseményeit.
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize count() by RuleName, RuleLastModificationTime, $table
Az egyéni adatgyűjtés többletköltséggel jár?
Lásd az adatköltségeket.
Jelenleg mely ügyfélverziók és operációs rendszerek támogatottak?
Lásd: Támogatott operációs rendszerek. Az ügyfélverzió lekérdezéséhez speciális veszélyforrás-keresés esetén használja a DeviceInfo tábla ClientVersion oszlopát.
Támogatottak a manuális (statikus) címkék?
Nem, jelenleg csak a dinamikus címkéket támogatjuk. A dinamikus címkéket azonban manuális címkékből is létrehozhatja a Beállítások > Microsoft Defender XDR > Eszközszabály-kezelésben. További információ: Dinamikus szabályok konfigurálása eszközökhöz az eszközszabály-kezelésben.
Hogyan gyűjthetem össze egy adott eseménytípus összes eseményét?
Lásd: Monitorozás és hibaelhárítás.
Következő lépések
- Megtudhatja, hogyan hozhat létre és kezelhet egyéni adatgyűjtési szabályokat
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.