Anpassad datainsamling i Microsoft Defender för Endpoint

Viktigt

Viss information i den här artikeln gäller en förhandsversion av en produkt som kan komma att ändras avsevärt innan den lanseras kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Med anpassad datainsamling kan organisationer utöka insamlingen av telemetri utöver standardkonfigurationer för att stödja specialiserade behov av hotjakt och säkerhetsövervakning. Med den här funktionen kan säkerhetsteam definiera specifika insamlingsregler med skräddarsydda filter för händelseegenskaper som mappsökvägar, processnamn och nätverksanslutningar.

Varför ska man använda anpassad datainsamling?

Microsoft Defender för Endpoint samlar in omfattande telemetri som standard, men vissa säkerhetsscenarier kräver ytterligare, specialiserade data. Använd anpassad datainsamling när du behöver riktad synlighet för hotjakt, programövervakning, efterlevnadsbevis eller incidenthantering utan kostnad och brus vid insamling av alla händelser.

När du ska använda anpassad datainsamling

Scenario Använd när Exempel Säkerhetsvärde
Hotjakt Du måste söka efter specifika attackmönster i din miljö Samla in alla PowerShell-skriptkörningar från administrativa arbetsstationer för att identifiera skadliga skript Identifiera fillös skadlig kod, skadliga skript eller obehörig automatisering i privilegierade system
Programövervakning Du måste spåra säkerhetsreleventiska händelser för anpassade program Övervaka filåtkomstmönster för ett privat finansiellt program Identifiera obehörig åtkomst, dataexfiltreringsförsök eller efterlevnadsöverträdelser för verksamhetsspecifika appar
Bevis för efterlevnad Du måste samla in detaljerade granskningsloggar som krävs enligt regler Samla in alla filändringar i mappar som innehåller känsliga data Uppfylla regelkrav (PCI-DSS, HIPAA, GDPR) med detaljerade tekniska granskningsloggar
Incidentsvar Du måste samla in kriminaltekniska data under aktiva undersökningar Samla tillfälligt in alla nätverksanslutningar från potentiellt komprometterade servrar Samla in detaljerade bevis för undersökning, identifiera lateral förflyttning och stödja reparationsinsatser
Identifiering av lateral förflyttning Du måste övervaka specifika indikatorer för lateral förflyttning Spåra fjärranslutningar och autentiseringshändelser mellan domänkontrollanter Identifiera angripare som rör sig mellan system med stulna autentiseringsuppgifter eller verktyg för fjärråtkomst

Fördelar med anpassad datainsamling

Fördel Beskrivning
Riktad synlighet Samla endast in de händelser du behöver, minska bruset och kontrollera kostnaderna för datainmatning i Microsoft Sentinel
Flexibel jakt Skapa anpassade frågor på specialiserad telemetri i Microsoft Sentinel för djup hotjakt och undersökning
Insamling av bevis Samla in detaljerade kriminaltekniska data för undersökningar, efterlevnadsgranskningar och incidenthantering
Skalbar övervakning Målsamling till specifika enhetsgrupper med dynamiska taggar, vilket säkerställer att samlingen förblir aktuell när din miljö ändras
Kostnadskontroll Undvik att samla in onödiga data med hjälp av specifika filter och enhetsinriktning

Viktigt

Anpassad datainsamling kräver enhetsinriktning med hjälp av dynamiska taggar. Du måste konfigurera dynamiska taggar i Tillgångsregelhantering innan du skapar anpassade insamlingsregler. Se Skapa och hantera enhetstaggar och målenheter.

Så här fungerar anpassad datainsamling

Anpassad datainsamling använder regelbaserad filtrering för att samla in specifika händelser från slutpunktsenheter och dirigera dem till din Microsoft Sentinel arbetsyta för analys och hotjakt.

Skärmbild av huvudsidan för anpassad datainsamling.

Insamlingsprocessen

  1. Definiera regler: Skapa samlingsregler i Microsoft Defender-portalen med specifika händelsefilter
  2. Målenheter: Använd dynamiska taggar för att ange vilka enheter som ska samla in data
  3. Distributionsregler: Regler överförs till målslutpunkter (vanligtvis inom 20 minuter till 1 timme)
  4. Samla in händelser: Slutpunkter samlar in händelser som matchar dina regelkriterier tillsammans med standardtelemetri
  5. Analysera data: Fråga efter anpassade händelsedata på din Microsoft Sentinel-arbetsyta

Obs!

Anpassade datainsamlingsregler fungerar tillsammans med standardkonfigurationen för Defender för Endpoint. Den anpassade samlingen ersätter eller ändrar inte standardtelemetri – den läggs till i den.

Händelsetabeller som stöds

Anpassad datainsamling stöder följande händelsetabeller. Varje tabell innehåller olika typer av säkerhetsreleventa aktiviteter:

Tabellnamn Händelsetyper Använd för
DeviceCustomProcessEvents Processskapande, avslutning och andra processaktiviteter Övervaka körbara uppskjutningar, spåra processträd, identifiera skadliga processer
DeviceCustomImageLoadEvents DLL- och bildinläsningshändelser Identifiera inmatning av skadligt bibliotek, spåra misstänkta modulinläsningar
DeviceCustomFileEvents Skapa, ändra, ta bort och komma åt filer Övervaka känslig dataåtkomst, spåra indikatorer för utpressningstrojaner, efterlevnadsgranskning
DeviceCustomNetworkEvents Nätverksanslutningshändelser med IP-adresser, portar och protokoll Identifiera lateral förflyttning, övervaka C2-kommunikation, spåra obehöriga anslutningar
DeviceCustomScriptEvents Skriptkörning (PowerShell, JavaScript osv.) Detektering av filfri skadlig kod, övervakning av administrativa skript, identifiering av skriptbaserade attacker

Detaljerad schemainformation finns i Avancerade schematabeller för jakt.

Förutsättningar och krav

Fullständiga krav och konfigurationskrav finns i Skapa regler för anpassad datainsamling.

Vanliga frågor och svar

Fråga Svar
Påverkar anpassad datainsamling standardkonfigurationen för Defender för Endpoint? Nej, anpassade datainsamlingsregler fungerar tillsammans med standardkonfigurationen för Defender för Endpoint utan störningar. Den anpassade samlingen ersätter eller ändrar inte standardtelemetri – den läggs till i den.
Krävs en Microsoft Sentinel arbetsyta? Ja, du behöver en ansluten Microsoft Sentinel arbetsyta för att skapa och använda anpassade regler för datainsamling. Du måste också välja arbetsytan när du skapar regler.
Varför krävs dynamiska taggar? Dynamiska taggar säkerställer att enhetsinriktning förblir aktuell när din miljö ändras. Manuella taggar uppdateras inte automatiskt, vilket kan resultera i inaktuell insamlingsinriktning. Dynamiska taggar krävs också för integrering med tillgångsregelhantering.
Hur vet jag om en regel är aktiv på en enhet? Fråga den relevanta anpassade händelsetabellen för enheten för att se insamlade händelser. Till exempel:

search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"
\| where DeviceId == "your_device_id"
\| summarize count() by RuleName, RuleLastModificationTime, $table
Vad händer när en enhet når händelsegränsen på 75 000? Insamlingen av telemetri för den specifika regeln stoppas tills det rullande 24-timmarsfönstret återställs. Andra regler på enheten fortsätter att samla in händelser. Förfina regelvillkoren för att göra dem mer specifika och minska händelsevolymen.
Kan jag använda manuella taggar för anpassad datainsamling? Nej, endast dynamiska taggar stöds. Dynamiska taggar uppdateras automatiskt när enhetsegenskaperna ändras, vilket säkerställer att insamlingsanpassningen förblir korrekt.
Hur lång tid tar det för en regel att distribuera till enheter? Distribution av regler tar vanligtvis mellan 20 minuter och 1 timme. Verifiera distributionen genom att fråga de anpassade händelsetabellerna efter data från målenheter.

Nästa steg