在 Microsoft Defender for Endpoint (预览版) 中创建和管理自定义数据收集规则

重要

本文中的某些信息与预发行的产品有关，该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

自定义数据收集 (预览版) 使组织能够扩展和自定义超出默认配置的遥测收集，以支持专门的威胁搜寻和安全监视需求。

自定义数据收集规则允许定义特定事件和分析数据，以增强安全可见性和威胁搜寻作。自定义数据收集规则基于文件夹路径、进程名称和网络连接等事件属性的定制筛选器。

本文介绍如何在 Microsoft Defender 门户中创建和管理自定义数据收集规则。

创建自定义数据收集规则

若要使用自定义数据收集，检查满足以下先决条件：

Microsoft Defender for Endpoint P2 许可证。
连接的Microsoft Sentinel工作区：自定义数据存储和查询所必需的。目前，对于自定义数据收集，每个 Defender for Endpoint 租户只能连接一个Sentinel工作区。

注意

即使已连接Microsoft Sentinel工作区，在创建自定义数据收集规则时仍需要选择工作区。有关详细信息，请参阅创建规则。
在资产规则管理中为设备目标配置的动态标记。若要将标记用于自定义数据收集，应至少运行该标记一次。

Windows 10 和 11，最低 Defender for Endpoint 客户端版本为 10.8805。
- Windows 10需要注册扩展安全性汇报 (ESU) 计划。
Windows Server 2019 及更高版本。

每个收集规则在 24 小时的滚动时段内，每个设备最多可以捕获 25,000 个事件。设备达到限制后，特定设备上特定规则的遥测将停止，直到窗口重置。
- 如果设备在周期早期达到阈值，则最多可能需要 24 小时才能恢复遥测。例如，如果设备在窗口重置后一小时达到限制，则遥测将在 23 小时后恢复。
- 如果设备达到窗口末尾附近的阈值，则延迟会更短。例如，如果设备在窗口重置前两小时达到限制，则遥测将在两小时后恢复。
规则部署通常需要 20 分钟到 1 小时。
自定义集合与默认 Defender for Endpoint 配置一起运行，而不会受干扰。

自定义数据收集包含在 Microsoft Defender for Endpoint P2 许可中。但是，将数据引入Microsoft Sentinel工作区会产生费用，具体取决于Sentinel计费安排。

在Microsoft Defender门户中，导航到“设置>终结点>规则>自定义数据收集”。
若要载入Microsoft Sentinel工作区，请在右上角选择Microsoft Sentinel工作区名称。
在 “工作区范围 ”页中，选择工作区。

注意

需要在此阶段选择工作区，即使已连接Microsoft Sentinel工作区也是如此。
选择“ 创建规则”。在“ 常规信息 ”部分中，键入规则名称和说明，然后选择“ 下一步”。
在 “创建规则 ”部分中：
1. 选择要从哪个表收集数据。有关详细信息，请参阅支持的事件表。
2. 选择要为其收集数据的作。
3. 添加规则条件以进一步筛选数据。可以添加多个条件来优化数据收集。规则条件基于所选表。有关详细信息，请参阅支持的事件表下的相应表链接。
选择 下一步。
在 “定义规则范围 ”部分中，选择是要从所有适用的客户端设备收集数据，还是从包含动态标记的特定设备收集数据。有关详细信息，请参阅在资产规则管理中为设备创建动态规则。

注意

自定义数据收集仅支持动态标记。
在 “查看并完成 ”部分中，查看规则设置，然后选择“ 提交”。