Udostępnij przez

Tworzenie niestandardowych reguł zbierania danych i zarządzanie nimi w Ochrona punktu końcowego w usłudze Microsoft Defender (wersja zapoznawcza)

  • Dotyczy: Microsoft Defender for Endpoint

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Niestandardowe zbieranie danych (wersja zapoznawcza) umożliwia organizacjom rozszerzanie i dostosowywanie zbierania danych telemetrycznych poza konfiguracjami domyślnymi w celu obsługi wyspecjalizowanych potrzeb związanych z wyszukiwaniem zagrożeń i monitorowaniem zabezpieczeń.

Niestandardowe reguły zbierania danych umożliwiają definiowanie określonych zdarzeń i analizowanie danych w celu zwiększenia widoczności zabezpieczeń i operacji wyszukiwania zagrożeń. Niestandardowe reguły zbierania danych są oparte na filtrach dostosowanych do właściwości zdarzeń, takich jak ścieżki folderów, nazwy procesów i połączenia sieciowe.

W tym artykule pokazano, jak tworzyć niestandardowe reguły zbierania danych i zarządzać nimi w portalu Microsoft Defender.

Tworzenie niestandardowych reguł zbierania danych

Wymagania wstępne

Aby użyć niestandardowego zbierania danych, sprawdź, czy masz następujące wymagania wstępne:

  • Licencja Ochrona punktu końcowego w usłudze Microsoft Defender P2.
  • Połączony Microsoft Sentinel obszar roboczy: wymagany do niestandardowego przechowywania danych i wykonywania zapytań. Obecnie można połączyć tylko jeden Sentinel obszaru roboczego na dzierżawę usługi Defender for Endpoint w celu zbierania danych niestandardowych.

    Uwaga

    Nawet jeśli masz połączony obszar roboczy Microsoft Sentinel, nadal musisz wybrać obszar roboczy podczas tworzenia niestandardowej reguły zbierania danych. Aby uzyskać więcej informacji, zobacz Tworzenie reguł.

  • Tagi dynamiczne skonfigurowane w usłudze Asset Rule Management na potrzeby określania wartości docelowej urządzeń. Aby użyć tagu do zbierania danych niestandardowych, tag powinien być uruchamiany co najmniej raz.

Obsługiwane systemy operacyjne

Wydajność i limity

  • Każda reguła kolekcji może przechwytywać do 25 000 zdarzeń na urządzenie w 24-godzinnym przedziale czasu. Gdy urządzenie osiągnie limit, dane telemetryczne dla określonej reguły na określonym urządzeniu zostaną zatrzymane do momentu zresetowania okna.
    • Jeśli urządzenie osiągnie próg na początku cyklu, wznowienie danych telemetrycznych może potrwać do 24 godzin. Jeśli na przykład urządzenie osiągnie limit jednej godziny po zresetowaniu okna, dane telemetryczne zostaną wznowione po 23 godzinach.
    • Jeśli urządzenie osiągnie próg na końcu okna, opóźnienie jest krótsze. Jeśli na przykład urządzenie osiągnie limit na dwie godziny przed zresetowaniem okna, dane telemetryczne zostaną wznowione po dwóch godzinach.
  • Wdrażanie reguł zwykle trwa od 20 minut do jednej godziny.
  • Kolekcja niestandardowa działa wraz z domyślną konfiguracją usługi Defender for Endpoint bez zakłóceń.

Koszty danych

Niestandardowe zbieranie danych jest dołączone do licencjonowania Ochrona punktu końcowego w usłudze Microsoft Defender P2. Jednak pozyskiwanie danych do obszarów roboczych Microsoft Sentinel wiąże się z naliczaniem opłat na podstawie Sentinel rozliczeń.

Tworzenie reguł

  1. W portalu Microsoft Defender przejdź do pozycji Ustawienia>Reguły>punktów końcowych Niestandardowe>zbieranie danych.

  2. Aby dołączyć obszar roboczy Microsoft Sentinel, w prawym górnym rogu wybierz nazwę obszaru roboczego Microsoft Sentinel.

    Zrzut ekranu przedstawiający wybieranie obszaru roboczego Microsoft Sentinel.

  3. Na stronie Zakres obszaru roboczego wybierz obszar roboczy.

    Zrzut ekranu przedstawiający wybieranie zakresu obszaru roboczego Microsoft Sentinel.

    Uwaga

    Na tym etapie musisz wybrać obszar roboczy, nawet jeśli masz już połączony obszar roboczy Microsoft Sentinel.

  4. Wybierz pozycję Utwórz regułę. W sekcji Informacje ogólne wpisz nazwę i opis reguły, a następnie wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający tworzenie reguły: strona Informacje ogólne.

  5. W sekcji Tworzenie reguły :

    1. Wybierz tabelę, z której chcesz zbierać dane. Aby uzyskać więcej informacji, zobacz Obsługiwane tabele zdarzeń.
    2. Wybierz akcję, dla której chcesz zbierać dane.
    3. Dodaj warunki reguły, aby jeszcze bardziej filtrować dane. Możesz dodać wiele warunków, aby uściślić zbieranie danych. Warunki reguły są oparte na wybranej tabeli. Aby uzyskać więcej informacji, zobacz odpowiedni link do tabeli w obszarze Obsługiwane tabele zdarzeń.

    Zrzut ekranu przedstawiający tworzenie reguły: tworzenie strony reguły.

  6. Wybierz pozycję Dalej.

  7. W sekcji Definiowanie zakresu reguły wybierz, czy chcesz zbierać dane ze wszystkich odpowiednich urządzeń klienckich, czy z określonych urządzeń zawierających tagi dynamiczne. Aby uzyskać więcej informacji, zobacz Tworzenie reguł dynamicznych dla urządzeń w zarządzaniu regułami zasobów.

    Zrzut ekranu przedstawiający tworzenie reguły: Definiowanie strony zakresu.

    Uwaga

    Niestandardowe zbieranie danych obsługuje tylko tagi dynamiczne.

  8. W sekcji Przeglądanie i zakończenie przejrzyj ustawienia reguły i wybierz pozycję Prześlij.

    Zrzut ekranu przedstawiający tworzenie reguły: przejrzyj i zakończ stronę.

Wdrożenie reguły na urządzeniach docelowych może potrwać do godziny.

Monitorowanie i rozwiązywanie problemów

Jeśli reguły nie działają zgodnie z oczekiwaniami:

  • Utwórz szeroką regułę do zbierania zdarzeń w nieoczekiwanym przypadku użycia. Na przykład utwórz regułę, która zbiera wszystkie zdarzenia sieciowe, w których port not equals 0.
  • Zastosuj poszczególne filtry i tagi, aby wyizolować problemy.
  • Jeśli urządzenie nie odpowiada po włączeniu tej funkcji, uruchom ponownie urządzenie.

Zapoznaj się z tymi zagadnieniami podczas monitorowania i rozwiązywania problemów z niestandardowymi regułami zbierania danych:

  • Wykluczenia wykrywania punktów końcowych i reagowania (EDR) mogą zastępować niestandardowe reguły zbierania.
  • Tagi dynamiczne są aktualizowane około co godzinę. Sprawdź kolumnęCzas ostatniego uruchomieniakolekcji> niestandardowej pod kątem stanu.

Edytowanie, usuwanie i włączanie lub wyłączanie niestandardowych reguł zbierania danych

  • Aby edytować regułę, przejdź do pozycji Ustawienia>Reguły>punktów końcowych>Kolekcja niestandardowa, wybierz regułę, którą chcesz edytować, a następnie wybierz pozycję Edytuj.
  • Aby wyłączyć lub włączyć regułę, wybierz regułę, którą chcesz zmodyfikować, a następnie zaznacz lub wyczyść pole wyboru Włącz w opisie reguły. Po wyłączeniu reguły zbieranie danych dla tej reguły zatrzymuje się na wszystkich urządzeniach docelowych.
  • Aby usunąć regułę, wybierz regułę, którą chcesz usunąć, a następnie wybierz pozycję Usuń. Po usunięciu reguły reguła zostanie trwale usunięta z systemu.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.

  • Last updated on