重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
自訂資料收集 (預覽) 讓組織能擴展並客製化遙測資料收集,超越預設設定,以支援專門的威脅狩獵與安全監控需求。 此功能允許安全團隊定義特定的收集規則,並針對事件屬性(如資料夾路徑、程序名稱及網路連線)設置客製化篩選條件。
本文概述了自訂資料收集,讓您了解此功能的功能,以及它如何提升您的安全可視性與威脅狩獵行動。
自訂資料收集的運作方式
自訂資料收集利用規則式過濾,從端點裝置擷取特定事件,並將其路由至 Microsoft Sentinel 工作空間進行分析與威脅追蹤。
自訂收集規則允許你定義想要捕捉的特定事件,以及在什麼條件下收集它們。
要建立自訂資料收集規則,請參見 建立自訂資料收集規則。
支援的事件表
自訂資料收集支援以下事件表。
| 表格名稱 | 描述 | 深入了解 |
|---|---|---|
| 裝置自訂流程事件 | 儲存程序建立、終止及其他流程相關活動的資料。 | 入口內結構參考或 DeviceProcessEvents 表格參考 |
| DeviceCustomImageLoadEvents | 儲存影像載入事件的資料,包括載入影像及其來源的詳細資訊。 | 入口網站內結構參考或 DeviceImageLoadEvents 表格參考 |
| 裝置自訂檔案事件 | 儲存檔案建立、修改、刪除及存取活動的資料。 | 入口內結構參考或 DeviceFileEvents 資料表參考 |
| 裝置自訂網路事件 | 儲存網路連線事件的資料,包括 IP 位址、埠口與協定。 | 入口網站架構參考或 DeviceNetworkEvents 表格參考 |
| DeviceCustomScriptEvents | 儲存與任何明確客戶催收請求相關的腳本執行與流程細節資料。 此表格是新增的,且在預設事件表中沒有參考。 | 門戶內結構參考 |
資料流與整合
以下是自訂資料收集的典型資料流程:
- 在 Microsoft Defender 入口網站中定義收集規則,並設定特定的過濾器與裝置目標。
- 規則會傳送到目標端點,通常在 20 分鐘到 1 小時內完成。
- 端點會收集符合你規則條件的事件,並搭配預設的遙測數據。
- 自訂事件資料會流向你連接的 Microsoft Sentinel 工作空間。
- 利用支援的事件表查詢自訂資料,了解端點上的特定活動。
常見問題集
自訂資料收集會影響 Defender for Endpoint 的預設設定嗎?
不,自訂的資料收集規則與 Defender for Endpoint 的開箱即用配置並存。
需要 Microsoft Sentinel 工作空間嗎?
是的,你需要連接的 Microsoft Sentinel 工作區來建立自訂的資料收集規則。 欲了解更多資訊,請參閱 先修條件。
建立自訂資料收集規則時,也需要選擇 Microsoft Sentinel 工作區。 欲了解更多資訊,請參閱 建立規則。
我怎麼知道規則是否已經到達端點?
你可以查詢相關規則收集的事件,針對特定端點。 例如,以下查詢會回傳端點目前及過去) (所有有效規則,並計算規則收集的事件數。
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize count() by RuleName, RuleLastModificationTime, $table
自訂資料收集會產生額外成本嗎?
詳見 資料成本。
目前支援哪些客戶端版本和作業系統?
請參閱 支援的作業系統。 要查詢你的客戶端版本,在進階搜尋中,請使用 DeviceInfo 表格中的 ClientVersion 欄位。
手動 (靜態) 標籤支援嗎?
不,我們目前只支援動態標籤。 不過,你可以在設定>中的 Microsoft Defender 全面偵測回應>資產規則管理中,從手動標籤中建立動態標籤。 欲了解更多資訊,請參閱 資產規則管理中的「為裝置配置動態規則」。
我該如何收集特定活動類型的所有活動?
請參考 監控與故障排除。
後續步驟
- 學習如何 建立和管理自訂資料收集規則
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。