Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Пользовательский сбор данных (предварительная версия) позволяет организациям расширять и настраивать сбор данных телеметрии за пределами конфигураций по умолчанию для поддержки специализированных потребностей в поиске угроз и мониторинге безопасности. Эта функция позволяет группам безопасности определять определенные правила сбора с помощью настраиваемых фильтров для свойств событий, таких как пути к папкам, имена процессов и сетевые подключения.
В этой статье содержится обзор пользовательского сбора данных, чтобы вы могли понять возможности функции и то, как она улучшает видимость безопасности и операции охоты на угрозы.
Принцип работы пользовательского сбора данных
Пользовательский сбор данных использует фильтрацию на основе правил для сбора определенных событий с устройств конечных точек и их перенаправления в рабочую область Microsoft Sentinel для анализа и охоты на угрозы.
Настраиваемые правила сбора позволяют определить конкретные события, которые требуется записать, и условия, при которых они должны быть собраны.
Сведения о создании пользовательских правил сбора данных см. в статье Создание пользовательских правил сбора данных.
Поддерживаемые таблицы событий
Пользовательский сбор данных поддерживает следующие таблицы событий.
| Имя таблицы | Описание | Дополнительные сведения |
|---|---|---|
| DeviceCustomProcessEvents | Хранит данные о создании, завершении процесса и других действиях, связанных с процессом. | Справочник по схеме на портале или справочник по таблице DeviceProcessEvents |
| DeviceCustomImageLoadEvents | Хранит данные о событиях загрузки изображений, включая сведения о загруженных изображениях и их источниках. | Справочник по схеме на портале или справочник по таблице DeviceImageLoadEvents |
| DeviceCustomFileEvents | Хранит данные о действиях по созданию, изменению, удалению и доступу к файлам. | Справочник по схеме на портале или справочник по таблице DeviceFileEvents |
| DeviceCustomNetworkEvents | Хранит данные о событиях сетевого подключения, включая IP-адреса, порты и протоколы. | Справочник по схеме на портале или справочник по таблице DeviceNetworkEvents |
| DeviceCustomScriptEvents | Хранит данные о выполнении скрипта и сведения о процессе, связанные с любым явным запросом клиента на сбор. Эта таблица является новым дополнением и не содержит ссылки в таблицах событий по умолчанию. | Справочник по схеме на портале |
Поток данных и интеграция
Это типичный поток данных для пользовательского сбора данных:
- Определите правила сбора на портале Microsoft Defender с помощью определенных фильтров и целевых объектов устройств.
- Правила передаются целевым конечным точкам, как правило, в течение 20 минут до одного часа.
- Конечные точки собирают события, соответствующие условиям правила, а также данные телеметрии по умолчанию.
- Данные пользовательских событий передаются в подключенную рабочую область Microsoft Sentinel.
- Запрашивайте пользовательские данные с помощью поддерживаемых таблиц событий, чтобы узнать о конкретных действиях в конечных точках.
Вопросы и ответы
Влияет ли пользовательский сбор данных на конфигурацию Defender для конечной точки по умолчанию?
Нет, пользовательские правила сбора данных живут параллельно с встроенной конфигурацией Defender для конечной точки.
Требуется ли Microsoft Sentinel рабочая область?
Да, для создания настраиваемых правил сбора данных требуется подключенная рабочая область Microsoft Sentinel. Дополнительные сведения см. в разделе Предварительные требования.
При создании настраиваемого правила сбора данных также необходимо выбрать рабочую область Microsoft Sentinel. Дополнительные сведения см. в разделе Создание правил.
Как узнать, достигло ли правило конечной точки?
Вы можете запросить события, собранные соответствующим правилом, для конкретной конечной точки. Например, следующий запрос возвращает все действующие правила в конечной точке (сейчас и в прошлом), подсчитывая собранные события правил.
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize count() by RuleName, RuleLastModificationTime, $table
Влечет ли пользовательская сборка данных дополнительные затраты?
См. сведения о затратах на данные.
Какие клиентские версии и операционные системы поддерживаются в настоящее время?
См. раздел Поддерживаемые операционные системы. Чтобы запросить версию клиента, при расширенном поиске используйте столбец ClientVersion в таблице DeviceInfo .
Поддерживаются ли ручные (статические) теги?
Нет, сейчас поддерживаются только динамические теги. Однако динамические теги можно создавать из ручных тегов в разделе Параметры > Microsoft Defender XDR > управление правилами активов. Дополнительные сведения см . в статье Настройка динамических правил для устройств в управлении правилами ресурсов.
Как собрать все события для определенного типа событий?
См. раздел Мониторинг и устранение неполадок.
Дальнейшие действия
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.