Opret og administrer brugerdefinerede regler for dataindsamling i Microsoft Defender for Endpoint (prøveversion)

  • Gælder for: Microsoft Defender for Endpoint

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

I denne artikel kan du se, hvordan du opretter og administrerer brugerdefinerede regler for dataindsamling på Microsoft Defender-portalen.

Tip

Før du opretter brugerdefinerede indsamlingsregler, skal du gennemse Brugerdefineret dataindsamling for at forstå, hvornår og hvorfor du skal bruge denne funktion.

Forudsætninger

Sørg for, at du har:

Krav Detaljer
Licens Microsoft Defender for Endpoint Plan 2
Microsoft Sentinel arbejdsområde Forbundet Microsoft Sentinel arbejdsområde (kræves til brugerdefineret datalager og forespørgsler); er i øjeblikket begrænset til ét Sentinel arbejdsområde pr. lejer til brugerdefineret dataindsamling
Dynamiske mærker Konfigureret i Asset Rule Management og køre mindst én gang. manuelle (statiske) tags understøttes ikke
Understøttede operativsystemer • Windows 10 og 11 (minimum klientversion 10.8805; Windows 10 kræver tilmelding til ESU)
• Windows Server 2019 og nyere
Overvejelser i forbindelse med omkostninger Brugerdefineret dataindsamling er inkluderet i Defender for Endpoint Plan 2. dataindtagelse i Microsoft Sentinel pådrager sig gebyrer baseret på din Sentinel fakturering

Vigtigt!

Selvom du har en forbundet Microsoft Sentinel arbejdsområde, skal du vælge arbejdsområdet, når du opretter brugerdefinerede regler for dataindsamling.

Ydeevne og grænser

  • Hver regel kan registrere op til 75.000 hændelser pr. enhed pr. 24-timers rullende vindue
  • Når en enhed når grænsen, stopper telemetrien for den pågældende regel, indtil vinduet nulstilles
  • Regelinstallation tager typisk 20 minutter til 1 time
  • Brugerdefineret samling fungerer sammen med standardkonfigurationen uden indblanding

Sikkerhedsovervejelser

Overvej disse sikkerhedsmæssige konsekvenser, før du opretter regler:

Overvejelse Detaljer Anbefaling
Indflydelse på regelomfang Alt for brede regler genererer store datamængder, øger omkostningerne og gør analyse vanskelig Balancer specificitet med dækning ved at gentagelse og finjustere regler baseret på de indledende resultater
For smalle regler Kan gå glip af vigtige sikkerhedshændelser Test med pilotgrupper, og overvåg, om der er huller i dækningen
Overvejelser i forbindelse med ydeevnen Hver enhed har en grænse på 75.000 pr. regel pr. dag Brug flere fokuserede regler i stedet for én alt for bred regel. målregler nøje over for enheder, hvor overvågning er afgørende
Teststrategi Hvis du installerer regler uden test, kan det medføre uventede omkostninger eller mistede hændelser 1. Start med en lille pilotgruppe (5-10 enheder)
2. Overvåg datamængde og hændelseskvalitet i 24-48 timer
3. Afgræns betingelser baseret på resultater
4. Udvid gradvist til større enhedsgrupper
5. Gennemse målepunkter for omkostninger og ydeevne regelmæssigt

Opret regler

  1. Gå til Indstillinger>Regler for slutpunkter>>Brugerdefineret dataindsamling i Microsoft Defender-portalen.

  2. Hvis du vil onboarde dit Microsoft Sentinel arbejdsområde, skal du vælge navnet på det Microsoft Sentinel arbejdsområde øverst til højre.

    Skærmbillede af valg af et Microsoft Sentinel arbejdsområde.

  3. Vælg dit arbejdsområde på siden Arbejdsområdeområde .

    Skærmbillede af valg af et Microsoft Sentinel arbejdsområdeområde.

    Bemærk!

    Du skal vælge arbejdsområdet i denne fase, selvom du allerede har oprettet forbindelse Microsoft Sentinel arbejdsområde.

  4. Vælg Opret regel. I afsnittet Generelle oplysninger skal du skrive et regelnavn og en beskrivelse og vælge Næste.

    Skærmbillede af oprettelse af en regel: siden Generelle oplysninger.

  5. I afsnittet Opret regel :

    1. Vælg, hvilken tabel du vil indsamle data fra. Du kan få flere oplysninger under Understøttede hændelsestabeller.
    2. Vælg den handling, du vil indsamle data for.
    3. Tilføj regelbetingelser for at filtrere dataene yderligere. Du kan tilføje flere betingelser for at tilpasse dataindsamlingen. Regelbetingelser er baseret på den valgte tabel. Du kan få flere oplysninger i linket til de respektive tabeller under Understøttede hændelsestabeller.

    Skærmbillede af oprettelse af en regel: Opret regelside.

  6. Vælg Næste.

  7. I afsnittet Definer regelområde skal du vælge, om du vil indsamle data fra alle relevante klientenheder eller fra bestemte enheder, der indeholder dynamiske koder. Du kan få flere oplysninger under Opret dynamiske regler for enheder i administration af aktivregler.

    Skærmbillede af oprettelse af en regel: Definer områdeside.

    Bemærk!

    Brugerdefineret dataindsamling understøtter kun dynamiske koder.

  8. Gennemse dine regelindstillinger i afsnittet Gennemse og afslut , og vælg Send.

    Skærmbillede af oprettelse af en regel: Gennemse og afslut side.

Det kan tage op til en time, før reglen udrulles på de målrettede enheder.

Overvåg og foretag fejlfinding

Når du har udrullet brugerdefinerede regler for dataindsamling, skal du overvåge deres ydeevne og foretage fejlfinding af eventuelle problemer.

Bekræft udrulning af regel

Hvis du vil kontrollere, om en regel indsamler data fra en bestemt enhed, skal du forespørge de brugerdefinerede hændelsestabeller i avanceret jagt:

search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents, DeviceCustomProcessEvents, DeviceCustomImageLoadEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize EventCount = count() by RuleName, RuleLastModificationTime, $table
| order by RuleLastModificationTime desc

Almindelige problemer og løsninger

Problem Mulig årsag Løsning
Der indsamles ingen hændelser Reglen er endnu ikke installeret Vent op til 1 time på udrulningen. kontrollér regelstatus på portalen
Der indsamles ingen hændelser Enheden er ikke målrettet korrekt Kontrollér, at dynamisk kode anvendes på enheden, og at kodereglen er kørt i Asset Rule Management
Hændelser stoppede med at indsamle 75.000 hændelsesgrænsen er nået Gennemse regelbetingelserne for at gøre dem mere specifikke. vent på, at 24-timers vinduet nulstilles
Uventede enheder, der indsamler data Dynamisk mærke anvendt bredt Gennemse koderegler i Administration af aktivregler. afgræns målretningskriterier
Reglen er ikke synlig på enheden Enheden opfylder ikke os-kravene Kontrollér, om klientversionen og operativsystemversionen opfylder minimumskravene (Windows 10/11 version 10.8805+, Windows Server 2019+)
Brugerdefineret samling initialiseres ikke EDR-udeladelser kan forhindre indsamling Kontrollér, om der er EDR-udeladelser på destinationsstier eller -processer; genstart af enheden kan være påkrævet, hvis den brugerdefinerede samling ikke initialiseres
Mærker opdateres ikke Dynamiske koder er ikke kørt for nylig Dynamiske mærker opdateres ca. hver time – kontrollér seneste kørselstid i Asset Rule Management

Overvåg regelydeevne

  • Kontrollér hændelsesvolumen: Forespørg i brugerdefinerede hændelsestabeller for at se, hvor mange hændelser hver regel indsamler
  • Gennemse status for samling: Overvåg, om enheder nærmer sig grænsen på 75.000 pr. regel pr. dag
  • Valider målretning: Sørg for, at regler udrulles på de korrekte enheder baseret på dine dynamiske tags

Indsaml alle hændelser til test

Sådan indsamler du alle hændelser fra en bestemt tabel (til test eller omfattende overvågning):

  1. Opret en regel med den ønskede tabel
  2. Vælg alle tilgængelige handlinger
  3. Tilføj en betingelse, der altid er sand, f.eks.:
    • For netværkshændelser: RemotePort not equals 0
    • For filhændelser: FileName not equals ""
    • For proceshændelser: ProcessCommandLine not equals ""
  4. Målret først mod en lille pilotgruppe på grund af stor datamængde

Advarsel

Indsamling af alle hændelser genererer meget store datamængder og kan hurtigt nå grænsen på 75.000 hændelser pr. enhed. Brug kun omfattende samling til test eller specifikke undersøgelsesformål på et lille antal enheder.

Administrer regler

Rediger en regel

  1. Naviger til Indstillinger> Reglerfor>slutpunkter>Brugerdefineret dataindsamling
  2. Vælg den regel, du vil redigere
  3. Vælg Rediger
  4. Rediger regelindstillinger efter behov (navn, beskrivelse, tabel, handlinger, betingelser eller enhedsmålretning)
  5. Vælg Send

Ændringer træder i kraft på målrettede enheder inden for 20 minutter til 1 time.

Aktivér eller deaktiver en regel

  1. Vælg reglen i Brugerdefineret dataindsamling
  2. Markér eller fjern markeringen i afkrydsningsfeltet Aktivér under regelbeskrivelsen

Når du deaktiverer en regel, stopper dataindsamlingen på alle målrettede enheder inden for den næste agentindtjekning (typisk inden for minutter til 1 time).

Slet en regel

  1. Vælg reglen i Brugerdefineret dataindsamling
  2. Vælg Slet
  3. Bekræft sletning

Vigtigt!

Sletning af en regel er permanent og kan ikke fortrydes. Historiske data i Microsoft Sentinel forbliver tilgængelige, men ny samling stopper med det samme.

Næste trin

  • Last updated on