Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.
A recolha de dados personalizados (Pré-visualização) permite que as organizações expandam e personalizem a recolha de telemetria para além das configurações predefinidas para suportar necessidades especializadas de investigação de ameaças e monitorização de segurança. Esta funcionalidade permite que as equipas de segurança definam regras de coleção específicas com filtros personalizados para propriedades de eventos, tais como caminhos de pastas, nomes de processos e ligações de rede.
Este artigo fornece uma descrição geral da recolha de dados personalizados para que possa compreender as capacidades da funcionalidade e como melhora a visibilidade de segurança e as operações de investigação de ameaças.
Como funciona a recolha de dados personalizada
A recolha de dados personalizada utiliza a filtragem baseada em regras para capturar eventos específicos de dispositivos de ponto final e encaminhá-los para a área de trabalho Microsoft Sentinel para análise e investigação de ameaças.
As regras de coleção personalizadas permitem-lhe definir os eventos específicos que pretende capturar e as condições em que devem ser recolhidos.
Para criar regras de recolha de dados personalizadas, veja Criar regras de recolha de dados personalizadas.
Tabelas de eventos suportadas
A recolha de dados personalizada suporta as seguintes tabelas de eventos.
| Nome da tabela | Descrição | Saiba mais |
|---|---|---|
| DeviceCustomProcessEvents | Armazena dados sobre a criação, terminação e outras atividades relacionadas com o processo. | Referência de esquema no portal ou Referência da tabela DeviceProcessEvents |
| DeviceCustomImageLoadEvents | Armazena dados sobre eventos de carregamento de imagens, incluindo detalhes sobre as imagens carregadas e as respetivas origens. | Referência de esquema no portal ou Referência da tabela DeviceImageLoadEvents |
| DeviceCustomFileEvents | Armazena dados sobre atividades de criação, modificação, eliminação e acesso a ficheiros. | Referência de esquema no portal ou Referência da tabela DeviceFileEvents |
| DeviceCustomNetworkEvents | Armazena dados em eventos de ligação de rede, incluindo endereços IP, portas e protocolos. | Referência de esquema no portal ou Referência da tabela DeviceNetworkEvents |
| DeviceCustomScriptEvents | Armazena dados sobre a execução de scripts e detalhes do processo relacionados com qualquer pedido de recolha explícito do cliente. Esta tabela é uma nova adição e não tem uma referência nas tabelas de eventos predefinidas. | Referência de esquema no portal |
Fluxo de dados e integração
Este é o fluxo de dados típico para a recolha de dados personalizados:
- Defina regras de coleção no portal Microsoft Defender com filtros específicos e destinos de dispositivos.
- As regras são transmitidas para pontos finais direcionados, normalmente dentro de 20 minutos a uma hora.
- Os pontos finais recolhem eventos que correspondem aos critérios da regra juntamente com a telemetria predefinida.
- Os dados de eventos personalizados fluem para a área de trabalho Microsoft Sentinel ligada.
- Consulte dados personalizados com as tabelas de eventos suportadas para saber mais sobre atividades específicas nos seus pontos finais.
Perguntas mais frequentes
A recolha de dados personalizados afeta a configuração predefinida do Defender para Endpoint?
Não, as regras de recolha de dados personalizadas estão lado a lado com a configuração inicial do Defender para Endpoint.
É necessária uma área de trabalho Microsoft Sentinel?
Sim, precisa de uma área de trabalho Microsoft Sentinel ligada para criar regras de recolha de dados personalizadas. Para obter mais informações, veja os pré-requisitos.
Também tem de selecionar a área de trabalho Microsoft Sentinel ao criar uma regra de recolha de dados personalizada. Para obter mais informações, veja Criar regras.
Como posso saber se uma regra atingiu o ponto final?
Pode consultar eventos recolhidos pela regra relevante para o ponto final específico. Por exemplo, a consulta seguinte devolve todas as regras efetivas no ponto final (agora e no passado), contando os eventos recolhidos das regras.
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize count() by RuleName, RuleLastModificationTime, $table
A recolha de dados personalizados incorre em custos adicionais?
Veja os custos dos dados.
Que versões de cliente e sistemas operativos são atualmente suportados?
Veja sistemas operativos suportados. Para consultar a versão do cliente, na investigação avançada, utilize a coluna ClientVersion na tabela DeviceInfo .
As etiquetas manuais (estáticas) são suportadas?
Não, atualmente só suportamos etiquetas dinâmicas. No entanto, pode criar etiquetas dinâmicas a partir de etiquetas manuais em Definições > Microsoft Defender XDR > Gestão de regras de recursos. Para obter mais informações, veja Configurar regras dinâmicas para dispositivos na gestão de regras de recursos.
Como posso recolher todos os eventos para um tipo de evento específico?
Veja Monitorizar e resolver problemas.
Passos seguintes
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.