Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt
Viss information i den här artikeln gäller en förhandsversion av en produkt som kan komma att ändras avsevärt innan den lanseras kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.
Med anpassad datainsamling kan organisationer utöka insamlingen av telemetri utöver standardkonfigurationer för att stödja specialiserade behov av hotjakt och säkerhetsövervakning. Med den här funktionen kan säkerhetsteam definiera specifika insamlingsregler med skräddarsydda filter för händelseegenskaper som mappsökvägar, processnamn och nätverksanslutningar.
Varför ska man använda anpassad datainsamling?
Microsoft Defender för Endpoint samlar in omfattande telemetri som standard, men vissa säkerhetsscenarier kräver ytterligare, specialiserade data. Använd anpassad datainsamling när du behöver riktad synlighet för hotjakt, programövervakning, efterlevnadsbevis eller incidenthantering utan kostnad och brus vid insamling av alla händelser.
När du ska använda anpassad datainsamling
| Scenario | Använd när | Exempel | Säkerhetsvärde |
|---|---|---|---|
| Hotjakt | Du måste söka efter specifika attackmönster i din miljö | Samla in alla PowerShell-skriptkörningar från administrativa arbetsstationer för att identifiera skadliga skript | Identifiera fillös skadlig kod, skadliga skript eller obehörig automatisering i privilegierade system |
| Programövervakning | Du måste spåra säkerhetsreleventiska händelser för anpassade program | Övervaka filåtkomstmönster för ett privat finansiellt program | Identifiera obehörig åtkomst, dataexfiltreringsförsök eller efterlevnadsöverträdelser för verksamhetsspecifika appar |
| Bevis för efterlevnad | Du måste samla in detaljerade granskningsloggar som krävs enligt regler | Samla in alla filändringar i mappar som innehåller känsliga data | Uppfylla regelkrav (PCI-DSS, HIPAA, GDPR) med detaljerade tekniska granskningsloggar |
| Incidentsvar | Du måste samla in kriminaltekniska data under aktiva undersökningar | Samla tillfälligt in alla nätverksanslutningar från potentiellt komprometterade servrar | Samla in detaljerade bevis för undersökning, identifiera lateral förflyttning och stödja reparationsinsatser |
| Identifiering av lateral förflyttning | Du måste övervaka specifika indikatorer för lateral förflyttning | Spåra fjärranslutningar och autentiseringshändelser mellan domänkontrollanter | Identifiera angripare som rör sig mellan system med stulna autentiseringsuppgifter eller verktyg för fjärråtkomst |
Fördelar med anpassad datainsamling
| Fördel | Beskrivning |
|---|---|
| Riktad synlighet | Samla endast in de händelser du behöver, minska bruset och kontrollera kostnaderna för datainmatning i Microsoft Sentinel |
| Flexibel jakt | Skapa anpassade frågor på specialiserad telemetri i Microsoft Sentinel för djup hotjakt och undersökning |
| Insamling av bevis | Samla in detaljerade kriminaltekniska data för undersökningar, efterlevnadsgranskningar och incidenthantering |
| Skalbar övervakning | Målsamling till specifika enhetsgrupper med dynamiska taggar, vilket säkerställer att samlingen förblir aktuell när din miljö ändras |
| Kostnadskontroll | Undvik att samla in onödiga data med hjälp av specifika filter och enhetsinriktning |
Viktigt
Anpassad datainsamling kräver enhetsinriktning med hjälp av dynamiska taggar. Du måste konfigurera dynamiska taggar i Tillgångsregelhantering innan du skapar anpassade insamlingsregler. Se Skapa och hantera enhetstaggar och målenheter.
Så här fungerar anpassad datainsamling
Anpassad datainsamling använder regelbaserad filtrering för att samla in specifika händelser från slutpunktsenheter och dirigera dem till din Microsoft Sentinel arbetsyta för analys och hotjakt.
Insamlingsprocessen
- Definiera regler: Skapa samlingsregler i Microsoft Defender-portalen med specifika händelsefilter
- Målenheter: Använd dynamiska taggar för att ange vilka enheter som ska samla in data
- Distributionsregler: Regler överförs till målslutpunkter (vanligtvis inom 20 minuter till 1 timme)
- Samla in händelser: Slutpunkter samlar in händelser som matchar dina regelkriterier tillsammans med standardtelemetri
- Analysera data: Fråga efter anpassade händelsedata på din Microsoft Sentinel-arbetsyta
Obs!
Anpassade datainsamlingsregler fungerar tillsammans med standardkonfigurationen för Defender för Endpoint. Den anpassade samlingen ersätter eller ändrar inte standardtelemetri – den läggs till i den.
Händelsetabeller som stöds
Anpassad datainsamling stöder följande händelsetabeller. Varje tabell innehåller olika typer av säkerhetsreleventa aktiviteter:
| Tabellnamn | Händelsetyper | Använd för |
|---|---|---|
| DeviceCustomProcessEvents | Processskapande, avslutning och andra processaktiviteter | Övervaka körbara uppskjutningar, spåra processträd, identifiera skadliga processer |
| DeviceCustomImageLoadEvents | DLL- och bildinläsningshändelser | Identifiera inmatning av skadligt bibliotek, spåra misstänkta modulinläsningar |
| DeviceCustomFileEvents | Skapa, ändra, ta bort och komma åt filer | Övervaka känslig dataåtkomst, spåra indikatorer för utpressningstrojaner, efterlevnadsgranskning |
| DeviceCustomNetworkEvents | Nätverksanslutningshändelser med IP-adresser, portar och protokoll | Identifiera lateral förflyttning, övervaka C2-kommunikation, spåra obehöriga anslutningar |
| DeviceCustomScriptEvents | Skriptkörning (PowerShell, JavaScript osv.) | Detektering av filfri skadlig kod, övervakning av administrativa skript, identifiering av skriptbaserade attacker |
Detaljerad schemainformation finns i Avancerade schematabeller för jakt.
Förutsättningar och krav
Fullständiga krav och konfigurationskrav finns i Skapa regler för anpassad datainsamling.
Vanliga frågor och svar
| Fråga | Svar |
|---|---|
| Påverkar anpassad datainsamling standardkonfigurationen för Defender för Endpoint? | Nej, anpassade datainsamlingsregler fungerar tillsammans med standardkonfigurationen för Defender för Endpoint utan störningar. Den anpassade samlingen ersätter eller ändrar inte standardtelemetri – den läggs till i den. |
| Krävs en Microsoft Sentinel arbetsyta? | Ja, du behöver en ansluten Microsoft Sentinel arbetsyta för att skapa och använda anpassade regler för datainsamling. Du måste också välja arbetsytan när du skapar regler. |
| Varför krävs dynamiska taggar? | Dynamiska taggar säkerställer att enhetsinriktning förblir aktuell när din miljö ändras. Manuella taggar uppdateras inte automatiskt, vilket kan resultera i inaktuell insamlingsinriktning. Dynamiska taggar krävs också för integrering med tillgångsregelhantering. |
| Hur vet jag om en regel är aktiv på en enhet? | Fråga den relevanta anpassade händelsetabellen för enheten för att se insamlade händelser. Till exempel:search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| Vad händer när en enhet når händelsegränsen på 75 000? | Insamlingen av telemetri för den specifika regeln stoppas tills det rullande 24-timmarsfönstret återställs. Andra regler på enheten fortsätter att samla in händelser. Förfina regelvillkoren för att göra dem mer specifika och minska händelsevolymen. |
| Kan jag använda manuella taggar för anpassad datainsamling? | Nej, endast dynamiska taggar stöds. Dynamiska taggar uppdateras automatiskt när enhetsegenskaperna ändras, vilket säkerställer att insamlingsanpassningen förblir korrekt. |
| Hur lång tid tar det för en regel att distribuera till enheter? | Distribution av regler tar vanligtvis mellan 20 minuter och 1 timme. Verifiera distributionen genom att fråga de anpassade händelsetabellerna efter data från målenheter. |
Nästa steg
- Skapa anpassade datainsamlingsregler: Stegvisa instruktioner för att skapa och hantera regler
- Skapa och hantera enhetstaggar och målenheter: Konfigurera dynamiska taggar för enhetsinriktning