Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Vigtigt!
Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.
Brugerdefineret dataindsamling (prøveversion) gør det muligt for organisationer at udvide telemetriindsamlingen ud over standardkonfigurationer for at understøtte specialiserede behov for trusselsjagt og sikkerhedsovervågning. Denne funktion gør det muligt for sikkerhedsteams at definere specifikke samlingsregler med skræddersyede filtre til hændelsesegenskaber, f.eks. mappestier, procesnavne og netværksforbindelser.
Hvorfor bruge brugerdefineret dataindsamling?
Microsoft Defender for Endpoint indsamler som standard omfattende telemetri, men nogle sikkerhedsscenarier kræver yderligere specialiserede data. Brug brugerdefineret dataindsamling, når du har brug for målrettet synlighed for trusselsjagt, programovervågning, dokumentation for overholdelse af angivne standarder eller svar på hændelser uden omkostninger og støj ved indsamling af alle hændelser.
Hvornår skal du bruge brugerdefineret dataindsamling?
| Scenarie | Brug når | Eksempel | Sikkerhedsværdi |
|---|---|---|---|
| Trusselsjagt | Du skal søge efter specifikke angrebsmønstre på tværs af dit miljø | Indsaml alle udførelser af PowerShell-scripts fra administrative arbejdsstationer for at registrere skadelige scripts | Registrer filuafhængig malware, skadelige scripts eller uautoriseret automatisering på privilegerede systemer |
| Programovervågning | Du skal spore sikkerhedsrelaterede hændelser for brugerdefinerede programmer | Overvåg mønstre for filadgang for et beskyttet finansielt program | Identificer uautoriseret adgang, forsøg på dataudfiltrering eller overholdelse af angivne standarder for line of business-apps |
| Dokumentation for overholdelse af angivne standarder | Du skal registrere detaljerede overvågningslogge, der kræves i henhold til regler | Indsaml alle filændringer i mapper, der indeholder følsomme data | Opfyldelse af lovmæssige krav (PCI-DSS, HIPAA, GDPR) med detaljerede tekniske revisionsspor |
| Svar på hændelse | Du skal indsamle tekniske data under aktive undersøgelser | Indsamler midlertidigt alle netværksforbindelser fra potentielt kompromitterede servere | Registrer detaljerede beviser for undersøgelse, identificer tværgående bevægelse og støtte afhjælpningsindsatsen |
| Registrering af tværgående bevægelse | Du skal overvåge, om der er specifikke indikatorer for tværgående bevægelse | Spor fjernforbindelser og godkendelseshændelser på tværs af domænecontrollere | Registrer hackere, der flytter mellem systemer ved hjælp af stjålne legitimationsoplysninger eller fjernadgangsværktøjer |
Fordele ved brugerdefineret dataindsamling
| Fordel | Beskrivelse |
|---|---|
| Målrettet synlighed | Indsaml kun de hændelser, du har brug for, og reducer støj og styring af dataindtagelsesomkostninger i Microsoft Sentinel |
| Fleksibel jagt | Byg brugerdefinerede forespørgsler på specialiseret telemetri i Microsoft Sentinel til jagt og undersøgelse af dyb trussel |
| Indsamling af beviser | Registrer detaljerede tekniske data til undersøgelser, overvågning af overholdelse af angivne standarder og svar på hændelser |
| Skalerbar overvågning | Målindsamling til bestemte enhedsgrupper ved hjælp af dynamiske mærker, der sikrer, at samlingen forbliver opdateret, i takt med at dit miljø ændres |
| Omkostningsstyring | Undgå at indsamle unødvendige data ved hjælp af specifikke filtre og enhedsmålretning |
Vigtigt!
Brugerdefineret dataindsamling kræver enhedsmålretning ved hjælp af dynamiske mærker. Du skal konfigurere dynamiske koder i Asset Rule Management, før du opretter brugerdefinerede indsamlingsregler. Se Opret og administrer enhedskoder og destinationsenheder.
Sådan fungerer brugerdefineret dataindsamling
Brugerdefineret dataindsamling bruger regelbaseret filtrering til at registrere bestemte hændelser fra slutpunktsenheder og dirigere dem til dit Microsoft Sentinel arbejdsområde til analyse og trusselsjagt.
Indsamlingsprocessen
- Definer regler: Opret indsamlingsregler på Microsoft Defender-portalen med bestemte hændelsesfiltre
- Destinationsenheder: Brug dynamiske mærker til at angive, hvilke enheder der skal indsamle dataene
- Udrul regler: Regler sendes til målrettede slutpunkter (typisk inden for 20 minutter til 1 time)
- Indsaml hændelser: Slutpunkter indsamler hændelser, der opfylder dine regelkriterier sammen med standardtelemetri
- Analysér data: Forespørg om brugerdefinerede hændelsesdata i dit Microsoft Sentinel arbejdsområde
Bemærk!
Brugerdefinerede regler for dataindsamling fungerer sammen med standardkonfigurationen af Defender for Endpoint. Brugerdefineret samling erstatter eller ændrer ikke standardtelemetri – den føjer til den.
Understøttede hændelsestabeller
Brugerdefineret dataindsamling understøtter følgende hændelsestabeller. Hver tabel registrerer forskellige typer af sikkerhedsrelaterede aktiviteter:
| Tabelnavn | Hændelsestyper | Bruges til |
|---|---|---|
| DeviceCustomProcessEvents | Procesoprettelse, afslutning og andre procesaktiviteter | Overvågning af eksekverbare lanceringer, sporing af procestræer, registrering af skadelige processer |
| DeviceCustomImageLoadEvents | DLL- og billedindlæsningshændelser | Identificere ondsindet biblioteksinjektion, spore mistænkelige modulindlæsninger |
| DeviceCustomFileEvents | Filoprettelse, ændring, sletning og adgang | Overvågning af følsomme data adgang, sporing af ransomware-indikatorer, overvågning af overholdelse af angivne standarder |
| DeviceCustomNetworkEvents | Netværksforbindelseshændelser med IP-adresser, porte og protokoller | Registrering af tværgående bevægelse, overvågning af C2-kommunikation, sporing af uautoriserede forbindelser |
| DeviceCustomScriptEvents | Udførelse af script (PowerShell, JavaScript osv.) | Registrering af filløs malware, overvågning af administrative scripts, identificering af scriptbaserede angreb |
Du kan finde detaljerede skemaoplysninger under Avancerede jagtskematabeller.
Forudsætninger og krav
Du kan få mere at vide om komplette forudsætninger og konfigurationskrav under Opret brugerdefinerede regler for dataindsamling.
Ofte stillede spørgsmål
| Spørgsmål | Svar |
|---|---|
| Påvirker brugerdefineret dataindsamling standardkonfigurationen for Defender for Endpoint? | Nej, brugerdefinerede regler for dataindsamling fungerer sammen med standardkonfigurationen for Defender for Endpoint uden indblanding. Brugerdefineret samling erstatter eller ændrer ikke standardtelemetri – den føjer til den. |
| Kræves der et Microsoft Sentinel arbejdsområde? | Ja, du skal have et forbundet Microsoft Sentinel arbejdsområde for at oprette og bruge brugerdefinerede regler for dataindsamling. Du skal også vælge arbejdsområdet, når du opretter regler. |
| Hvorfor kræves dynamiske koder? | Dynamiske mærker sikrer, at målretning på enheder forbliver opdateret, når dit miljø ændres. Manuelle mærker opdateres ikke automatisk, hvilket kan resultere i forældet indsamlingsmålretning. Dynamiske koder kræves også til integration med Administration af aktivregel. |
| Hvordan kan jeg se, om en regel er aktiv på en enhed? | Forespørg den relevante brugerdefinerede hændelsestabel, så enheden kan se indsamlede hændelser. Det kan f.eks. være:search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| Hvad sker der, når en enhed når grænsen på 75.000 hændelser? | Telemetriindsamling for den specifikke regel stopper, indtil det 24-timers rullende vindue nulstilles. Andre regler på enheden fortsætter med at indsamle hændelser. Afgræns dine regelbetingelser for at gøre dem mere specifikke og reducere hændelsesmængden. |
| Kan jeg bruge manuelle mærker til brugerdefineret dataindsamling? | Nej, det er kun dynamiske koder, der understøttes. Dynamiske mærker opdateres automatisk, efterhånden som enhedens egenskaber ændres, så indsamlingsmålretning forbliver præcis. |
| Hvor lang tid tager det for en regel at installere på enheder? | Udrulning af regler tager typisk 20 minutter til 1 time. Kontrollér udrulningen ved at forespørge de brugerdefinerede hændelsestabeller efter data fra målrettede enheder. |
Næste trin
- Opret brugerdefinerede regler for dataindsamling: Trinvise instruktioner til oprettelse og administration af regler
- Opret og administrer enhedskoder og destinationsenheder: Konfigurer dynamiske mærker til målretning af enheder