Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
La raccolta dati personalizzata (anteprima) consente alle organizzazioni di espandere la raccolta di dati di telemetria oltre le configurazioni predefinite per supportare esigenze specializzate di ricerca delle minacce e monitoraggio della sicurezza. Questa funzionalità consente ai team di sicurezza di definire regole di raccolta specifiche con filtri personalizzati per le proprietà degli eventi, ad esempio percorsi di cartelle, nomi di processo e connessioni di rete.
Perché usare la raccolta dati personalizzata?
Microsoft Defender per endpoint raccoglie dati di telemetria completi per impostazione predefinita, ma alcuni scenari di sicurezza richiedono dati aggiuntivi e specializzati. Usare la raccolta di dati personalizzata quando è necessaria una visibilità mirata per la ricerca delle minacce, il monitoraggio delle applicazioni, l'evidenza di conformità o la risposta agli eventi imprevisti senza il costo e il rumore della raccolta di tutti gli eventi.
Quando usare la raccolta dati personalizzata
| Scenario | Usare quando | Esempio | Valore di sicurezza |
|---|---|---|---|
| Rilevazione delle minacce | È necessario cercare modelli di attacco specifici nell'ambiente | Raccogliere tutte le esecuzioni di script di PowerShell dalle workstation amministrative per rilevare script dannosi | Rilevare malware senza file, script dannosi o automazione non autorizzata nei sistemi con privilegi |
| Monitoraggio delle applicazioni | È necessario tenere traccia degli eventi rilevanti per la sicurezza per le applicazioni personalizzate | Monitorare i modelli di accesso ai file per un'applicazione finanziaria proprietaria | Identificare l'accesso non autorizzato, i tentativi di esfiltrazione dei dati o le violazioni della conformità per le app line-of-business |
| Prove di conformità | È necessario acquisire log di controllo dettagliati richiesti dalle normative | Raccogliere tutte le modifiche ai file in cartelle contenenti dati sensibili | Soddisfare i requisiti normativi (PCI-DSS, HIPAA, GDPR) con audit trail forensi dettagliati |
| Risposta a un incidente | È necessario raccogliere dati forensi durante le indagini attive | Raccogliere temporaneamente tutte le connessioni di rete da server potenzialmente compromessi | Acquisire prove dettagliate per l'indagine, identificare lo spostamento laterale e supportare le attività di correzione |
| Rilevamento dello spostamento laterale | È necessario monitorare gli indicatori specifici di movimento laterale | Tenere traccia delle connessioni remote e degli eventi di autenticazione tra controller di dominio | Rilevare gli utenti malintenzionati che si spostano tra sistemi usando credenziali rubate o strumenti di accesso remoto |
Vantaggi della raccolta di dati personalizzata
| Benefici | Descrizione |
|---|---|
| Visibilità di destinazione | Raccogliere solo gli eventi necessari, riducendo il rumore e controllando i costi di inserimento dei dati in Microsoft Sentinel |
| Ricerca flessibile | Creare query personalizzate su dati di telemetria specializzati in Microsoft Sentinel per la ricerca e l'analisi di minacce profonde |
| Raccolta di prove | Acquisire dati forensi dettagliati per indagini, controlli di conformità e risposta agli eventi imprevisti |
| Monitoraggio scalabile | Raccolta di destinazione a gruppi di dispositivi specifici tramite tag dinamici, garantendo che la raccolta rimanga aggiornata man mano che l'ambiente cambia |
| Controllo dei costi | Evitare di raccogliere dati non necessari usando filtri specifici e la destinazione del dispositivo |
Importante
La raccolta di dati personalizzata richiede la destinazione del dispositivo tramite tag dinamici. È necessario configurare i tag dinamici in Gestione regole asset prima di creare regole di raccolta personalizzate. Vedere Creare e gestire i tag del dispositivo e i dispositivi di destinazione.
Funzionamento della raccolta dati personalizzata
La raccolta dati personalizzata usa filtri basati su regole per acquisire eventi specifici dai dispositivi endpoint e indirizzarli all'area di lavoro Microsoft Sentinel per l'analisi e la ricerca delle minacce.
Processo di raccolta
- Definire le regole: creare regole di raccolta nel portale di Microsoft Defender con filtri eventi specifici
- Dispositivi di destinazione: usare i tag dinamici per specificare quali dispositivi devono raccogliere i dati
- Regole di distribuzione: le regole vengono trasmesse agli endpoint di destinazione (in genere entro 20 minuti a 1 ora)
- Raccogliere eventi: gli endpoint raccolgono eventi corrispondenti ai criteri della regola insieme ai dati di telemetria predefiniti
- Analizzare i dati: eseguire query sui dati degli eventi personalizzati nell'area di lavoro Microsoft Sentinel
Nota
Le regole di raccolta dati personalizzate funzionano insieme alla configurazione predefinita di Defender per endpoint. La raccolta personalizzata non sostituisce o modifica i dati di telemetria standard, ma aggiunge dati di telemetria.
Tabelle degli eventi supportate
La raccolta di dati personalizzata supporta le tabelle di eventi seguenti. Ogni tabella acquisisce diversi tipi di attività rilevanti per la sicurezza:
| Nome della tabella | Tipi di evento | Utilizzare per |
|---|---|---|
| DeviceCustomProcessEvents | Creazione del processo, terminazione e altre attività di processo | Monitoraggio degli avvii eseguibili, monitoraggio degli alberi dei processi, rilevamento di processi dannosi |
| DeviceCustomImageLoadEvents | Eventi di caricamento di DLL e immagini | Identificazione dell'inserimento di librerie dannose, rilevamento dei carichi di moduli sospetti |
| DeviceCustomFileEvents | Creazione, modifica, eliminazione e accesso ai file | Monitoraggio dell'accesso dati sensibili, monitoraggio degli indicatori ransomware, controllo di conformità |
| DeviceCustomNetworkEvents | Eventi di connessione di rete con indirizzi IP, porte e protocolli | Rilevamento dello spostamento laterale, monitoraggio delle comunicazioni C2, rilevamento delle connessioni non autorizzate |
| DeviceCustomScriptEvents | Esecuzione di script (PowerShell, JavaScript e così via) | Rilevamento di malware senza file, monitoraggio degli script amministrativi, identificazione degli attacchi basati su script |
Per informazioni dettagliate sullo schema, vedere Tabelle dello schema di ricerca avanzate.
Prerequisiti e requisiti
Per i prerequisiti completi e i requisiti di installazione, vedere Creare regole di raccolta dati personalizzate.
Domande frequenti
| Domanda | Risposta |
|---|---|
| La raccolta dati personalizzata influisce sulla configurazione predefinita di Defender per endpoint? | No, le regole di raccolta dati personalizzate funzionano insieme alla configurazione predefinita di Defender per endpoint senza interferenze. La raccolta personalizzata non sostituisce o modifica i dati di telemetria standard, ma aggiunge dati di telemetria. |
| È necessaria un'area di lavoro Microsoft Sentinel? | Sì, è necessaria un'area di lavoro Microsoft Sentinel connessa per creare e usare regole di raccolta dati personalizzate. È anche necessario selezionare l'area di lavoro durante la creazione delle regole. |
| Perché sono necessari tag dinamici? | I tag dinamici assicurano che la destinazione dei dispositivi rimanga aggiornata man mano che l'ambiente cambia. I tag manuali non vengono aggiornati automaticamente, il che potrebbe comportare una destinazione di raccolta obsoleta. I tag dinamici sono necessari anche per l'integrazione con Asset Rule Management. |
| Come è possibile stabilire se una regola è attiva in un dispositivo? | Eseguire una query sulla tabella eventi personalizzata pertinente per il dispositivo per visualizzare gli eventi raccolti. Ad esempio:search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| Cosa accade quando un dispositivo raggiunge il limite di 75.000 eventi? | La raccolta di dati di telemetria per tale regola specifica viene arrestata fino alla reimpostazione della finestra in sequenza di 24 ore. Altre regole nel dispositivo continuano a raccogliere eventi. Ottimizzare le condizioni delle regole per renderle più specifiche e ridurre il volume degli eventi. |
| È possibile usare tag manuali per la raccolta dati personalizzata? | No, sono supportati solo i tag dinamici. I tag dinamici vengono aggiornati automaticamente man mano che cambiano le proprietà del dispositivo, garantendo che la destinazione della raccolta rimanga accurata. |
| Quanto tempo occorre per la distribuzione di una regola nei dispositivi? | La distribuzione delle regole richiede in genere da 20 minuti a 1 ora. Verificare la distribuzione eseguendo una query sulle tabelle eventi personalizzate per i dati dei dispositivi di destinazione. |
Passaggi successivi
- Creare regole di raccolta dati personalizzate: istruzioni dettagliate per la creazione e la gestione di regole
- Creare e gestire i tag del dispositivo e i dispositivi di destinazione: configurare i tag dinamici per la destinazione dei dispositivi