在適用於端點的 Microsoft Defender (預覽) 建立並管理自訂資料收集規則

重要事項

本文中的部分資訊與發行前版本產品有關，在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊，不提供任何明確或隱含的瑕疵擔保。

自訂資料收集 (預覽) 讓組織能擴展並客製化遙測資料收集，超越預設設定，以支援專門的威脅狩獵與安全監控需求。

自訂資料收集規則允許您定義特定事件並分析資料，以提升您的安全可視性與威脅狩獵行動。自訂資料收集規則基於針對事件屬性（如資料夾路徑、程序名稱及網路連線）的客製化篩選。

本文將教你如何在 Microsoft Defender 入口網站中建立和管理自訂資料收集規則。

建立自訂的資料收集規則

要使用自訂資料收集，請檢查您是否具備以下先決條件：

適用於端點的 Microsoft Defender P2 授權。
連接的 Microsoft Sentinel 工作空間：用於自訂資料儲存與查詢。目前你只能在每個 Defender for Endpoint 租戶連接一個 Sentinel 工作空間來進行自訂資料收集。

注意事項

即使你有連接的 Microsoft Sentinel 工作區，建立自訂資料收集規則時仍需選擇該工作區。欲了解更多資訊，請參閱建立規則。
在資產規則管理中設定動態標籤以進行裝置目標鎖定。若要使用標籤進行自訂資料收集，該標籤至少應該執行一次。

Windows 10 和 11，Defender for Endpoint 用戶端最低版本為 10.8805。
- Windows 10要求你參加延伸安全匯報 (ESU) 計畫。
Windows Server 2019 及更新版本。

每條收集規則在 24 小時內可捕捉最多 25,000 個事件。一旦裝置達到限制，該裝置上特定規則的遙測會停止，直到視窗重置。
- 若裝置在週期早期達到閾值，遙測恢復可能需要長達24小時。例如，如果裝置在視窗重置後一小時達到極限，遙測會在23小時後恢復。
- 如果裝置在視窗末端接近閾值，延遲會縮短。例如，如果裝置在視窗重置前兩小時達到極限，遙測會在兩小時後恢復。
規則部署通常需要 20 分鐘到 1 小時。
自訂收集可與預設的 Defender for Endpoint 設定並行運作，不會受到干擾。

自訂資料收集功能包含在適用於端點的 Microsoft Defender P2 授權中。然而，將資料匯入 Microsoft Sentinel 工作區會根據你的 Sentinel 帳單安排產生費用。

在 Microsoft Defender 入口網站中，請前往設定>、端點>、規則>、自訂資料收集。
要啟用你的 Microsoft Sentinel 工作空間，在右上角選擇 Microsoft Sentinel 工作區名稱。
在 工作區範圍 頁面，選擇你的工作區。

注意事項

即使你已經有連接的 Microsoft Sentinel 工作區，也需要在這個階段選擇工作區。
選擇 建立規則。在 一般資訊 區塊輸入規則名稱和描述，然後選擇 「下一步」。
在 「創建規則 」區塊：
1. 選擇你想從哪個表格收集資料。欲了解更多資訊，請參閱支援事件表。
2. 選擇你想收集資料的行動。
3. 加入規則條件以進一步過濾資料。你可以新增多個條件來精煉資料收集。規則條件是根據所選表格決定的。欲了解更多資訊，請參閱支援事件表下的相關表格連結。
選取 [下一步]。
在 定義規則範圍 區塊中，選擇是要從所有適用的用戶端裝置收集資料，還是從包含動態標籤的特定裝置收集資料。欲了解更多資訊，請參閱資產規則管理中的裝置動態規則。

注意事項

自訂資料收集只支援動態標籤。
在 「檢視與完成 」區塊，檢視你的規則設定，然後選擇提交。