重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。
カスタム データ収集 (プレビュー) を使用すると、組織は、特殊な脅威ハンティングとセキュリティ監視のニーズをサポートするために、既定の構成を超えてテレメトリ収集を拡張およびカスタマイズできます。 この機能を使用すると、セキュリティ チームは、フォルダー パス、プロセス名、ネットワーク接続などのイベント プロパティに合わせたフィルターを使用して、特定のコレクション ルールを定義できます。
この記事では、機能の機能と、セキュリティの可視性と脅威ハンティング操作を強化する方法を理解できるように、カスタム データ収集の概要について説明します。
カスタム データ収集のしくみ
カスタム データ収集では、ルールベースのフィルター処理を使用して、エンドポイント デバイスから特定のイベントをキャプチャし、分析と脅威ハンティングのためにMicrosoft Sentinel ワークスペースにルーティングします。
![メインの [カスタム データ収集] ページのスクリーンショット。](media/custom-data-collection/custom-data-collection-main-view.png#lightbox)
カスタム コレクション ルールを使用すると、キャプチャする特定のイベントと、それらのイベントを収集する条件を定義できます。
カスタム データ収集ルールを作成するには、「 カスタム データ収集ルールを作成する」を参照してください。
サポートされているイベント テーブル
カスタム データ収集では、次のイベント テーブルがサポートされています。
| テーブル名 | 説明 | 詳細情報 |
|---|---|---|
| DeviceCustomProcessEvents | プロセスの作成、終了、およびその他のプロセス関連のアクティビティに関するデータを格納します。 | ポータル内スキーマ 参照 または DeviceProcessEvents テーブル リファレンス |
| DeviceCustomImageLoadEvents | 読み込まれたイメージとその配信元に関する詳細など、イメージの読み込みイベントに関するデータを格納します。 | ポータル内スキーマ 参照 または DeviceImageLoadEvents テーブル リファレンス |
| DeviceCustomFileEvents | ファイルの作成、変更、削除、およびアクセス アクティビティに関するデータを格納します。 | ポータル内スキーマ 参照 または DeviceFileEvents テーブル リファレンス |
| DeviceCustomNetworkEvents | IP アドレス、ポート、プロトコルなど、ネットワーク接続イベントにデータを格納します。 | ポータル内スキーマ リファレンス または DeviceNetworkEvents テーブル リファレンス |
| DeviceCustomScriptEvents | 明示的な顧客の収集要求に関連するスクリプト実行とプロセスの詳細にデータを格納します。 このテーブルは新しい追加であり、既定のイベント テーブルには参照がありません。 | ポータル内スキーマ リファレンス |
データ フローと統合
これは、カスタム データ収集の一般的なデータ フローです。
- 特定のフィルターとデバイス ターゲットを使用して、Microsoft Defender ポータルでコレクション ルールを定義します。
- ルールはターゲット エンドポイントに送信されます。通常は 20 分以内から 1 時間以内です。
- エンドポイントは、既定のテレメトリと共に、ルールの条件に一致するイベントを収集します。
- 接続されたMicrosoft Sentinel ワークスペースへのカスタム イベント データ フロー。
- サポートされているイベント テーブルを使用してカスタム データにクエリを実行し、エンドポイント上の特定のアクティビティについて学習します。
よく寄せられる質問
カスタム データ収集は、既定の Defender for Endpoint 構成に影響しますか?
いいえ。カスタム データ収集ルールは、Defender for Endpoint の既定の構成と並行して実行されます。
Microsoft Sentinel ワークスペースは必要ですか?
はい。カスタム データ収集ルールを作成するには、接続されたMicrosoft Sentinel ワークスペースが必要です。 詳細については、 前提条件に関するページを参照してください。
また、カスタム データ収集規則を作成するときに、Microsoft Sentinel ワークスペースを選択する必要もあります。 詳細については、「ルールの 作成」を参照してください。
ルールがエンドポイントに到達したかどうかを確認するにはどうすればよいですか?
特定のエンドポイントについて、関連するルールによって収集されたイベントに対してクエリを実行できます。 たとえば、次のクエリでは、エンドポイント上のすべての有効なルール (現在と過去) が返され、ルールの収集されたイベントがカウントされます。
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize count() by RuleName, RuleLastModificationTime, $table
カスタム データ収集には追加のコストが発生しますか?
データ コストに関するページを参照してください。
現在サポートされているクライアント バージョンとオペレーティング システムは何ですか?
サポートされているオペレーティング システムに関するページを参照してください。 クライアント バージョンのクエリを実行するには、高度なハンティングで、DeviceInfo テーブルの ClientVersion 列を使用します。
手動 (静的) タグはサポートされていますか?
いいえ。現在サポートされているのは動的タグのみです。 ただし、[設定] > Microsoft Defender XDR > [資産ルール管理] で手動タグから動的タグを作成できます。 詳細については、「 資産ルール管理でデバイスの動的ルールを構成する」を参照してください。
特定のイベントの種類のすべてのイベントを収集するにはどうすればよいですか?
「監視とトラブルシューティング」を参照してください。
次の手順
- カスタム データ収集ルールを作成および管理する方法について説明します
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。