匯總報告可解決適用於端點的 Microsoft Defender 中事件報告的限制。 彙總報告可延長訊號報告間隔,以大幅減少報告事件的大小,同時保留基本事件屬性。
適用於端點的 Defender 可減少收集數據中的雜訊,以改善信噪比,同時平衡產品效能和效率。 它限制資料收集以維持這種平衡。
透過匯總報告,適用於端點的 Defender 可確保持續收集對調查和威脅搜捕活動有價值的所有重要事件屬性。 它透過將報告間隔延長一小時來實現這一點,從而減少了報告事件的大小,並實現了高效而有價值的資料收集。
開啟匯總報告時,您可以查詢所有支援事件類型的摘要,包括可用於調查和搜捕活動的低效能遙測。
必要條件
在開啟彙總報告之前,必須符合下列需求:
- 啟用進階功能的權限
支援的作業系統:
- Windows 10 (20H2、21H1、21H2)
- Windows 11 (22H2,企業)
- Windows Server 2019 和更新版本
- Windows Server 20H2 版或 Azure Stack HCI OS 23H2 版和更新版本
- 用戶端版本:Windows 24H 版及更新版本
開啟彙總報表
如要開啟彙總報表功能,請依序前往「 設定」 > 圖示 「端點」「 > 進階功能」。 開啟彙 總報告 功能。
啟用彙總報表後,彙總報表最多可能需要 7 天才能提供。 然後,您可以在開啟此功能之後開始查詢新資料。
關閉彙總報表後,變更需要幾個小時才能套用。 所有先前收集的資料都會保留。
查詢彙總報告
彙總報告支援下列事件類型:
| 動作類型 | 進階狩獵桌 | 裝置時間表簡報 | 屬性 |
|---|---|---|---|
| FileCreatedAggregatedReport | DeviceFileEvents | {ProcessName} 已建立 {Occurrences} {FilePath} 檔案 | 1. 檔案路徑 2. 檔案副檔名 3. 處理序名稱 |
| FileRenamedAggregatedReport | DeviceFileEvents | {ProcessName} 已重新命名 {Occurrences} {FilePath} 檔案 | 1. 檔案路徑 2. 檔案副檔名 3. 處理序名稱 |
| FileModifiedAggregatedReport | DeviceFileEvents | {ProcessName} 修改的 {Occurrences} {FilePath} 檔案 | 1. 檔案路徑 2. 檔案副檔名 3. 處理序名稱 |
| ProcessCreatedAggregatedReport | DeviceProcessEvents | {InitiatingProcessName} 已建立 {Occurrences} {ProcessName} 進程 | 1. 啟動進程命令列 2. 啟動程序 SHA1 3. 啟動進程檔案路徑 4. 處理命令列 5. 流程 SHA1 6. 資料夾路徑 |
| ConnectionSuccessAggregatedReport | DeviceNetworkEvents | {InitiatingProcessName} 已建立 {Occurrences} 與 {RemoteIP}:{RemotePort} 的連線 | 1. 啟動進程名稱 2. 來源 IP 3。 遠端 IP 4. 遠端連接埠 |
| ConnectionFailedAggregatedReport | DeviceNetworkEvents | {InitiatingProcessName} 無法建立與 {RemoteIP:RemotePort} 的 {Occurrences} 連線 | 1. 啟動進程名稱 2. 來源 IP 3。 遠端 IP 4. 遠端連接埠 |
| 登入成功彙總報表 | DeviceLogonEvents | {出現次數}{UserName}\{DomainName} 的 {LogonType} 登入 | 1. 目標用戶名 2. 目標使用者 SID 3。 目標網域 4. 登入類型 |
| 登入失敗彙總報告 | DeviceLogonEvents | {出現次數}{LogonType} 登入失敗,{UserName}\{DomainName} | 1. 目標用戶名 2. 目標使用者 SID 3。 目標網域 4. 登入類型 |
注意事項
開啟匯總報告可改善訊號可見度,如果您要將適用於端點的 Defender 進階搜捕數據表串流至 SIEM 或儲存體解決方案,可能會產生較高的儲存體成本。
若要使用彙總報告查詢新資料:
移至 [ 調查 & 回應 > 搜捕 > 自訂偵測規則。
檢閱並修改可能受彙總報告影響的 現有規則和查詢 。
必要時,請建立新的自訂規則以合併新的動作類型。
移至 [進階搜捕 ] 頁面,並查詢新的資料。
以下是具有匯總報表的進階搜捕查詢結果範例。
範例進階搜捕查詢
您可以使用下列 KQL 查詢,使用匯總報告來收集特定資訊。
查詢嘈雜的程序活動
下列查詢會醒目提示嘈雜的進程活動,這些活動可能與惡意訊號相關聯。
DeviceProcessEvents
| where Timestamp > ago(1h)
| where ActionType == "ProcessCreatedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| project-reorder Timestamp, uniqueEventsAggregated, ProcessCommandLine, InitiatingProcessCommandLine, ActionType, SHA1, FolderPath, InitiatingProcessFolderPath, DeviceName
| sort by uniqueEventsAggregated desc
查詢重複登入嘗試失敗
下列查詢會識別重複的登入嘗試失敗。
DeviceLogonEvents
| where Timestamp > ago(30d)
| where ActionType == "LogonFailedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder Timestamp, DeviceId, uniqueEventsAggregated, LogonType, AccountName, AccountDomain, AccountSid
| sort by uniqueEventsAggregated desc
查詢可疑的 RDP 連線
下列查詢會識別可疑的 RDP 連線,這可能表示惡意活動。
DeviceNetworkEvents
| where Timestamp > ago(1d)
| where ActionType endswith "AggregatedReport"
| where RemotePort == "3389"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder ActionType, Timestamp, uniqueEventsAggregated
| sort by uniqueEventsAggregated desc