Erstellen und Verwalten von benutzerdefinierten Datensammlungsregeln in Microsoft Defender for Endpoint (Vorschau)

  • Gilt für:: Microsoft Defender for Endpoint

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

In diesem Artikel erfahren Sie, wie Sie benutzerdefinierte Datensammlungsregeln im Microsoft Defender-Portal erstellen und verwalten.

Tipp

Bevor Sie benutzerdefinierte Sammlungsregeln erstellen, lesen Sie Benutzerdefinierte Datensammlung , um zu verstehen, wann und warum dieses Feature verwendet werden sollte.

Voraussetzungen

Stellen Sie sicher, dass Sie über Folgendes verfügen:

Anforderung Details
License Microsoft Defender for Endpoint Plan 2
Microsoft Sentinel Arbeitsbereich Verbundener Microsoft Sentinel Arbeitsbereich (für benutzerdefinierte Datenspeicherung erforderlich)
Dynamische Tags In der Ressourcenregelverwaltung konfiguriert und mindestens einmal ausgeführt
Unterstützte Betriebssysteme • Windows 10 und 11 (Client-Mindestversion 10.8805; Windows 10 erfordert ESU-Registrierung)
• Windows Server 2019 und höher

Wichtig

Auch wenn Sie über einen verbundenen Microsoft Sentinel Arbeitsbereich verfügen, müssen Sie den Arbeitsbereich auswählen, wenn Sie benutzerdefinierte Datensammlungsregeln erstellen.

Leistung und Grenzwerte

  • Jede Regel kann bis zu 25.000 Ereignisse pro Gerät pro 24-Stunden-Rollfenster erfassen.
  • Wenn ein Gerät den Schwellenwert erreicht, werden die Telemetriedaten für diese Regel angehalten, bis das Fenster zurückgesetzt wird.
  • Die Regelbereitstellung dauert in der Regel 20 Minuten bis 1 Stunde.
  • Benutzerdefinierte Sammlung funktioniert zusammen mit der Standardkonfiguration ohne Störungen

Sicherheitsüberlegungen

Berücksichtigen Sie die folgenden Sicherheitsauswirkungen, bevor Sie Regeln erstellen:

Überlegungen Details Empfehlung
Auswirkungen auf den Regelbereich Übermäßig umfangreiche Regeln generieren große Datenmengen, was die Kosten erhöht und die Analyse erschwert Ausgleich von Spezifität und Abdeckung durch Iteration und Verfeinerung von Regeln basierend auf den ersten Ergebnissen
Zu enge Regeln Kann wichtige Sicherheitsereignisse verpassen Testen mit Pilotgruppen und Überwachen von Lücken in der Abdeckung
Überlegungen zur Leistung Für jedes Gerät gilt ein Grenzwert von 25.000 Ereignissen pro Regel und Tag. Verwenden Sie mehrere fokussierte Regeln anstelle einer übermäßig breiten Regel. Regeln sorgfältig auf Geräte ausrichten, bei denen die Überwachung unerlässlich ist
Teststrategie Die Bereitstellung von Regeln ohne Tests kann zu unerwarteten Kosten oder verpassten Ereignissen führen. 1. Beginnen Sie mit einer kleinen Pilotgruppe (5-10 Geräte)
2. Überwachen von Datenvolumen und Ereignisqualität für 24-48 Stunden
3. Optimieren von Bedingungen basierend auf Ergebnissen
4. Schrittweises Erweitern auf größere Gerätegruppen
5. Regelmäßiges Überprüfen von Kosten- und Leistungsmetriken

Datenkosten

  • Benutzerdefinierte Datensammlung ist in Microsoft Defender for Endpoint P2 enthalten
  • Für die Datenerfassung in Microsoft Sentinel fallen Gebühren basierend auf Ihrer Sentinel Abrechnung an.
  • Zielsammlung auf bestimmte Gerätegruppen zur Kostenkontrolle

Regeln erstellen

  1. Navigieren Sie im Microsoft Defender-Portal zu Einstellungen>Endpunkte>Regeln>Benutzerdefinierte Datensammlung.

  2. Wählen Sie zum Onboarding Ihres Microsoft Sentinel Arbeitsbereichs oben rechts den Namen des Microsoft Sentinel Arbeitsbereichs aus.

    Screenshot: Auswählen eines Microsoft Sentinel Arbeitsbereichs

  3. Wählen Sie auf der Seite Arbeitsbereichsbereich Ihren Arbeitsbereich aus.

    Screenshot: Auswählen eines Microsoft Sentinel Arbeitsbereichsbereichs

    Hinweis

    Sie müssen den Arbeitsbereich in dieser Phase auswählen, auch wenn Sie bereits über eine verbindung Microsoft Sentinel Arbeitsbereichs verfügen.

  4. Wählen Sie Regel erstellen aus. Geben Sie im Abschnitt Allgemeine Informationen einen Regelnamen und eine Beschreibung ein, und wählen Sie Weiter aus.

    Screenshot: Erstellen einer Regel: Seite

  5. Führen Sie im Abschnitt Regel erstellen folgendes aus:

    1. Wählen Sie aus, aus welcher Tabelle Daten gesammelt werden sollen. Weitere Informationen finden Sie unter Unterstützte Ereignistabellen.
    2. Wählen Sie die Aktion aus, für die Sie Daten sammeln möchten.
    3. Fügen Sie Regelbedingungen hinzu, um die Daten noch weiter zu filtern. Sie können mehrere Bedingungen hinzufügen, um die Datensammlung zu verfeinern. Regelbedingungen basieren auf der ausgewählten Tabelle. Weitere Informationen finden Sie im entsprechenden Tabellenlink unter Unterstützte Ereignistabellen.

    Screenshot: Erstellen einer Regel: Seite

  6. Wählen Sie Weiter aus.

  7. Wählen Sie im Abschnitt Regelbereich definieren aus, ob Sie Daten von allen anwendbaren Clientgeräten oder von bestimmten Geräten sammeln möchten, die dynamische Tags enthalten. Weitere Informationen finden Sie unter Erstellen dynamischer Regeln für Geräte in der Ressourcenregelverwaltung.

    Screenshot: Erstellen einer Regel: Seite

    Hinweis

    Die benutzerdefinierte Datensammlung unterstützt nur dynamische Tags.

  8. Überprüfen Sie im Abschnitt Überprüfen und beenden Ihre Regeleinstellungen, und wählen Sie Senden aus.

    Screenshot: Erstellen einer Regel: Seite

Es kann bis zu einer Stunde dauern, bis die Regel auf den Zielgeräten bereitgestellt wird.

Überwachung und Problembehandlung

Nachdem Sie benutzerdefinierte Datensammlungsregeln bereitgestellt haben, überwachen Sie deren Leistung, und beheben Sie probleme.

Überprüfen der Regelbereitstellung

Um zu überprüfen, ob eine Regel Daten von einem bestimmten Gerät sammelt, fragen Sie die benutzerdefinierten Ereignistabellen in der erweiterten Suche ab:

search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents, DeviceCustomProcessEvents, DeviceCustomImageLoadEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize EventCount = count() by RuleName, RuleLastModificationTime, $table
| order by RuleLastModificationTime desc

Häufige Probleme und Lösungen

Problem Mögliche Ursache Lösung
Keine Ereignisse gesammelt Regel noch nicht bereitgestellt Warten Sie bis zu 1 Stunde auf die Bereitstellung. Überprüfen der status der Regel im Portal
Keine Ereignisse gesammelt Das Gerät ist nicht korrekt ausgerichtet Überprüfen Sie, ob das dynamische Tag auf das Gerät angewendet und die Tagregel in der Ressourcenregelverwaltung ausgeführt wurde.
Ereignisse wurden nicht mehr erfasst Grenzwert von 25.000 Ereignissen erreicht Überprüfen Sie die Regelbedingungen, um sie spezifischer zu machen; warten, bis das 24-Stunden-Fenster zurückgesetzt wurde
Unerwartete Geräte, die Daten sammeln Dynamisches Tag, das allgemein angewendet wird Überprüfen von Tagregeln in der Ressourcenregelverwaltung; Verfeinern von Zielkriterien
Regel auf Gerät nicht sichtbar Das Gerät erfüllt die Betriebssystemanforderungen nicht. Überprüfen, ob die Clientversion und die Betriebssystemversion die Mindestanforderungen erfüllen (Windows 10/11 Version 10.8805 und höher, Windows Server 2019 und höher)
Benutzerdefinierte Sammlung wird nicht initialisiert EDR-Ausschlüsse können die Sammlung verhindern Überprüfung auf EDR-Ausschlüsse in Zielpfaden oder -prozessen; Geräteneustarts sind möglicherweise erforderlich, wenn die benutzerdefinierte Sammlung nicht initialisiert wird.
Tags werden nicht aktualisiert Dynamische Tags wurden in letzter Zeit nicht ausgeführt Dynamische Tags werden ungefähr stündlich aktualisiert. Überprüfen Sie die Option Letzte Laufzeit in der Ressourcenregelverwaltung.

Überwachen der Regelleistung

  • Überprüfen des Ereignisvolumens: Abfragen von benutzerdefinierten Ereignistabellen, um zu ermitteln, wie viele Ereignisse jede Regel sammelt
  • Überprüfen der sammlung status: Überwachen, ob Geräte sich dem Grenzwert von 25.000 Ereignissen pro Regel und Tag nähern
  • Überprüfen der Zielgruppenadressierung: Stellen Sie sicher, dass Regeln basierend auf Ihren dynamischen Tags auf den richtigen Geräten bereitgestellt werden.

Sammeln aller Ereignisse zu Testzwecken

So sammeln Sie alle Ereignisse aus einer bestimmten Tabelle (für Tests oder umfassende Überwachung):

  1. Erstellen einer Regel mit der gewünschten Tabelle
  2. Auswählen aller verfügbaren Aktionen
  3. Fügen Sie eine Bedingung hinzu, die immer true ist, z. B.:
    • Für Netzwerkereignisse: RemotePort not equals 0
    • Für Dateiereignisse: FileName not equals ""
    • Für Prozessereignisse: ProcessCommandLine not equals ""
  4. Ziel einer kleinen Pilotgruppe aufgrund eines hohen Datenvolumens

Warnung

Das Sammeln aller Ereignisse generiert sehr große Datenmengen und kann schnell den Grenzwert von 25.000 Ereignissen pro Gerät erreichen. Verwenden Sie eine umfassende Sammlung nur zu Test- oder bestimmten Untersuchungszwecken auf einer kleinen Anzahl von Geräten.

Verwalten von Regeln

Bearbeiten einer Regel

  1. Navigieren Sie zu Einstellungen>Endpunktregeln>>Benutzerdefinierte Datensammlung.
  2. Wählen Sie die Regel aus, die Sie bearbeiten möchten.
  3. Wählen Sie Bearbeiten aus.
  4. Ändern Sie die Regeleinstellungen nach Bedarf (Name, Beschreibung, Tabelle, Aktionen, Bedingungen oder Geräteadressierung).
  5. Wählen Sie Absenden aus.

Änderungen werden auf Zielgeräten innerhalb von 20 Minuten bis 1 Stunde wirksam.

Aktivieren oder Deaktivieren einer Regel

  1. Wählen Sie unter Benutzerdefinierte Datensammlung die Regel aus.
  2. Aktivieren oder deaktivieren Sie das Kontrollkästchen Aktivieren unter der Regelbeschreibung.

Wenn Sie eine Regel deaktivieren, wird die Datensammlung auf allen Zielgeräten innerhalb des nächsten Agent-Check-Ins beendet (in der Regel innerhalb von Minuten bis 1 Stunde).

Löschen einer Regel

  1. Wählen Sie unter Benutzerdefinierte Datensammlung die Regel aus.
  2. Wählen Sie Löschen aus.
  3. Bestätigen des Löschens

Wichtig

Das Löschen einer Regel ist dauerhaft und kann nicht rückgängig werden. Verlaufsdaten in Microsoft Sentinel bleiben verfügbar, aber neue Sammlung wird sofort beendet.

Nächste Schritte

  • Last updated on