Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.
Met aangepaste gegevensverzameling (preview) kunnen organisaties telemetrieverzameling uitbreiden en aanpassen buiten de standaardconfiguraties om ondersteuning te bieden voor gespecialiseerde behoeften voor het opsporen van bedreigingen en beveiligingsbewaking. Met deze functie kunnen beveiligingsteams specifieke verzamelingsregels definiëren met op maat gemaakte filters voor gebeurteniseigenschappen, zoals mappaden, procesnamen en netwerkverbindingen.
Dit artikel bevat een overzicht van het verzamelen van aangepaste gegevens, zodat u de mogelijkheden van de functie begrijpt en hoe deze uw beveiligingszichtbaarheid en opsporingsbewerkingen verbetert.
Hoe aangepaste gegevensverzameling werkt
Aangepaste gegevensverzameling maakt gebruik van filteren op basis van regels om specifieke gebeurtenissen van eindpuntapparaten vast te leggen en deze naar uw Microsoft Sentinel werkruimte te routeren voor analyse en opsporing van bedreigingen.
Met aangepaste verzamelingsregels kunt u de specifieke gebeurtenissen definiëren die u wilt vastleggen en de voorwaarden waaronder deze moeten worden verzameld.
Zie Aangepaste regels voor gegevensverzameling maken als u aangepaste regels voor gegevensverzameling wilt maken.
Ondersteunde gebeurtenistabellen
Aangepaste gegevensverzameling ondersteunt de volgende gebeurtenistabellen.
| Tabelnaam | Beschrijving | Meer informatie |
|---|---|---|
| DeviceCustomProcessEvents | Slaat gegevens op over het maken, beëindigen en andere procesgerelateerde activiteiten. | In-portal schemaverwijzing of DeviceProcessEvents-tabelverwijzing |
| DeviceCustomImageLoadEvents | Slaat gegevens op over gebeurtenissen voor het laden van afbeeldingen, inclusief details over de geladen afbeeldingen en hun oorsprong. | Naslaginformatie over schema in de portal of naslaginformatie over de tabel DeviceImageLoadEvents |
| DeviceCustomFileEvents | Slaat gegevens op over activiteiten voor het maken, wijzigen, verwijderen en openen van bestanden. | In-portal schemaverwijzing of DeviceFileEvents-tabelverwijzing |
| DeviceCustomNetworkEvents | Slaat gegevens op over netwerkverbindingsevenementen, waaronder IP-adressen, poorten en protocollen. | Naslaginformatie over schema's in de portal of naslaginformatie over de tabel DeviceNetworkEvents |
| DeviceCustomScriptEvents | Slaat gegevens op over de uitvoering van scripts en procesdetails met betrekking tot een expliciete klantaanvraag voor verzameling. Deze tabel is een nieuwe toevoeging en bevat geen verwijzing in de standaard gebeurtenistabellen. | Schemaverwijzing in de portal |
Gegevensstroom en integratie
Dit is de gebruikelijke gegevensstroom voor het verzamelen van aangepaste gegevens:
- Definieer verzamelingsregels in de Microsoft Defender portal met specifieke filters en apparaatdoelen.
- Regels worden verzonden naar doeleindpunten, meestal binnen 20 minuten tot één uur.
- Eindpunten verzamelen gebeurtenissen die overeenkomen met uw regelcriteria naast standaardtelemetrie.
- Aangepaste gebeurtenisgegevensstromen naar uw verbonden Microsoft Sentinel werkruimte.
- Query's uitvoeren op aangepaste gegevens met behulp van de ondersteunde gebeurtenistabellen voor meer informatie over specifieke activiteiten op uw eindpunten.
Veelgestelde vragen
Is het verzamelen van aangepaste gegevens van invloed op de standaardconfiguratie van Defender voor Eindpunt?
Nee, aangepaste regels voor gegevensverzameling worden naast de out-of-the-box-configuratie van Defender voor Eindpunt weergegeven.
Is een Microsoft Sentinel werkruimte vereist?
Ja, u hebt een verbonden Microsoft Sentinel werkruimte nodig om aangepaste regels voor gegevensverzameling te maken. Zie de vereisten voor meer informatie.
U moet ook de Microsoft Sentinel werkruimte selecteren bij het maken van een aangepaste regel voor gegevensverzameling. Zie Regels maken voor meer informatie.
Hoe weet ik of een regel het eindpunt heeft bereikt?
U kunt een query uitvoeren op gebeurtenissen die worden verzameld door de relevante regel, voor het specifieke eindpunt. De volgende query retourneert bijvoorbeeld alle effectieve regels op het eindpunt (nu en in het verleden), waarbij de verzamelde gebeurtenissen van de regels worden geteld.
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize count() by RuleName, RuleLastModificationTime, $table
Brengt het verzamelen van aangepaste gegevens extra kosten met zich mee?
Welke clientversies en besturingssystemen worden momenteel ondersteund?
Zie Ondersteunde besturingssystemen. Als u een query wilt uitvoeren op uw clientversie, gebruikt u in geavanceerde opsporing de kolom ClientVersion in de tabel DeviceInfo .
Worden handmatige (statische) tags ondersteund?
Nee, we ondersteunen momenteel alleen dynamische tags. U kunt echter dynamische tags maken op basis van handmatige tags in Instellingen > Microsoft Defender XDR > Beheer van assetregels. Zie Dynamische regels configureren voor apparaten in assetregelbeheer voor meer informatie.
Hoe kan ik alle gebeurtenissen voor een specifiek gebeurtenistype verzamelen?
Zie Bewaken en problemen oplossen.
Volgende stappen
- Meer informatie over het maken en beheren van aangepaste regels voor gegevensverzameling
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.