Condividi tramite

Creare e gestire regole di raccolta dati personalizzate in Microsoft Defender per endpoint (anteprima)

  • Si applica a: Microsoft Defender for Endpoint

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

La raccolta dati personalizzata (anteprima) consente alle organizzazioni di espandere e personalizzare la raccolta di dati di telemetria oltre alle configurazioni predefinite per supportare le esigenze specializzate di ricerca delle minacce e monitoraggio della sicurezza.

Le regole di raccolta dati personalizzate consentono di definire eventi specifici e analizzare i dati per migliorare la visibilità della sicurezza e le operazioni di ricerca delle minacce. Le regole di raccolta dati personalizzate si basano su filtri personalizzati per le proprietà degli eventi, ad esempio i percorsi delle cartelle, i nomi dei processi e le connessioni di rete.

Questo articolo illustra come creare e gestire regole di raccolta dati personalizzate nel portale di Microsoft Defender.

Creare regole di raccolta dati personalizzate

Prerequisiti

Per usare la raccolta dati personalizzata, verificare di disporre dei prerequisiti seguenti:

  • Una licenza Microsoft Defender per endpoint P2.
  • Un'area di lavoro Microsoft Sentinel connessa: necessaria per l'archiviazione e l'esecuzione di query sui dati personalizzati. Attualmente è possibile connettere solo un'area di lavoro Sentinel per ogni tenant di Defender per endpoint per la raccolta dati personalizzata.

    Nota

    Anche se si dispone di un'area di lavoro Microsoft Sentinel connessa, è comunque necessario selezionare l'area di lavoro quando si crea una regola di raccolta dati personalizzata. Per altre informazioni, vedere Creare regole.

  • Tag dinamici configurati in Gestione regole asset per la destinazione del dispositivo. Per usare un tag per la raccolta dati personalizzata, il tag deve essere eseguito almeno una volta.

Sistemi operativi supportati

Prestazioni e limiti

  • Ogni regola di raccolta può acquisire fino a 25.000 eventi per dispositivo in una finestra in sequenza di 24 ore. Quando il dispositivo raggiunge il limite, i dati di telemetria per la regola specifica nel dispositivo specifico si arrestano fino alla reimpostazione della finestra.
    • Se il dispositivo raggiunge la soglia all'inizio del ciclo, la ripresa dei dati di telemetria può richiedere fino a 24 ore. Ad esempio, se il dispositivo raggiunge il limite un'ora dopo la reimpostazione della finestra, i dati di telemetria riprenderanno dopo 23 ore.
    • Se il dispositivo raggiunge la soglia verso la fine della finestra, il ritardo è più breve. Ad esempio, se il dispositivo raggiunge il limite due ore prima della reimpostazione della finestra, i dati di telemetria riprenderanno dopo due ore.
  • La distribuzione delle regole richiede in genere da 20 minuti a un'ora.
  • La raccolta personalizzata opera insieme alla configurazione predefinita di Defender per endpoint senza interferenze.

Costi dei dati

La raccolta di dati personalizzata è inclusa nelle licenze di Microsoft Defender per endpoint P2. Tuttavia, l'inserimento dei dati nelle aree di lavoro Microsoft Sentinel comporta addebiti in base alla disposizione di fatturazione Sentinel.

Creare regole

  1. Nel portale di Microsoft Defender passare a Impostazioni> Raccoltadati personalizzataregole>endpoint>.

  2. Per eseguire l'onboarding dell'area di lavoro Microsoft Sentinel, in alto a destra selezionare il nome dell'area di lavoro Microsoft Sentinel.

    Screenshot della selezione di un'area di lavoro Microsoft Sentinel.

  3. Nella pagina Ambito area di lavoro selezionare l'area di lavoro.

    Screenshot della selezione di un ambito dell'area di lavoro Microsoft Sentinel.

    Nota

    È necessario selezionare l'area di lavoro in questa fase, anche se si dispone già di un'area di lavoro Microsoft Sentinel connessa.

  4. Selezionare Crea regola. Nella sezione Informazioni generali digitare il nome e la descrizione di una regola e selezionare Avanti.

    Screenshot della creazione di una regola: pagina Informazioni generali.

  5. Nella sezione Crea regola :

    1. Selezionare la tabella da cui raccogliere i dati. Per altre informazioni, vedere Tabelle degli eventi supportate.
    2. Selezionare l'azione per cui si desidera raccogliere i dati.
    3. Aggiungere le condizioni delle regole per filtrare ulteriormente i dati. È possibile aggiungere più condizioni per perfezionare la raccolta dati. Le condizioni delle regole si basano sulla tabella selezionata. Per altre informazioni, vedere il collegamento alla tabella corrispondente in Tabelle eventi supportate.

    Screenshot della creazione di una regola: pagina Crea regola.

  6. Seleziona Avanti.

  7. Nella sezione Definisci ambito regola selezionare se si vogliono raccogliere dati da tutti i dispositivi client applicabili o da dispositivi specifici che includono tag dinamici. Per altre informazioni, vedere Creare regole dinamiche per i dispositivi nella gestione delle regole degli asset.

    Screenshot della creazione di una regola: pagina Definisci ambito.

    Nota

    La raccolta dati personalizzata supporta solo i tag dinamici.

  8. Nella sezione Rivedi e termina esaminare le impostazioni delle regole e selezionare Invia.

    Screenshot della creazione di una regola: pagina Revisione e fine.

La distribuzione della regola nei dispositivi di destinazione può richiedere fino a un'ora.

Monitorare e risolvere i problemi

Se le regole non funzionano come previsto:

  • Creare una regola generale per raccogliere gli eventi in un caso d'uso imprevisto. Ad esempio, creare una regola che raccoglie tutti gli eventi di rete in cui port not equals 0.
  • Applicare singoli filtri e tag per isolare i problemi.
  • Se un dispositivo non risponde dopo aver abilitato la funzionalità, riavviare il dispositivo.

Esaminare queste considerazioni durante il monitoraggio e la risoluzione dei problemi delle regole di raccolta dati personalizzate:

  • Le esclusioni di rilevamento e risposta degli endpoint (EDR) possono ignorare le regole di raccolta personalizzate.
  • I tag dinamici vengono aggiornati circa ogni ora. Controllare lo stato nella colonna Raccolta personalizzata>Ultima esecuzione .

Modificare, eliminare e abilitare o disabilitare le regole di raccolta dati personalizzate

  • Per modificare una regola, passare a Impostazioni>Raccolta personalizzataregole>endpoint>, selezionare la regola da modificare e selezionare Modifica.
  • Per disabilitare o abilitare una regola, selezionare la regola da modificare e selezionare o deselezionare la casella di controllo Abilita nella descrizione della regola. Quando si disabilita una regola, la raccolta dei dati per tale regola viene arrestata in tutti i dispositivi di destinazione.
  • Per eliminare una regola, selezionare la regola da eliminare e selezionare Elimina. Quando si elimina una regola, la regola viene rimossa definitivamente dal sistema.

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.

  • Last updated on