Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
La recopilación de datos personalizada (versión preliminar) permite a las organizaciones expandir la recopilación de telemetría más allá de las configuraciones predeterminadas para admitir las necesidades especializadas de búsqueda de amenazas y supervisión de seguridad. Esta característica permite a los equipos de seguridad definir reglas de recopilación específicas con filtros personalizados para las propiedades de evento, como rutas de acceso de carpeta, nombres de proceso y conexiones de red.
¿Por qué usar la recopilación de datos personalizada?
Microsoft Defender para punto de conexión recopila telemetría extensa de forma predeterminada, pero algunos escenarios de seguridad requieren datos adicionales especializados. Use la recopilación de datos personalizada cuando necesite visibilidad dirigida para la búsqueda de amenazas, la supervisión de aplicaciones, la evidencia de cumplimiento o la respuesta a incidentes sin el costo y el ruido de recopilar todos los eventos.
Cuándo usar la recopilación de datos personalizada
| Escenario | Usar cuando | Ejemplo | Valor de seguridad |
|---|---|---|---|
| Búsqueda de amenazas | Debe buscar patrones de ataque específicos en su entorno. | Recopilación de todas las ejecuciones de scripts de PowerShell de estaciones de trabajo administrativas para detectar scripts malintencionados | Detectar malware sin archivos, scripts malintencionados o automatización no autorizada en sistemas con privilegios |
| Supervisión de aplicaciones | Debe realizar un seguimiento de los eventos relevantes para la seguridad de las aplicaciones personalizadas. | Supervisión de patrones de acceso a archivos para una aplicación financiera propietaria | Identificar el acceso no autorizado, los intentos de filtración de datos o las infracciones de cumplimiento de las aplicaciones de línea de negocio |
| Pruebas de cumplimiento | Debe capturar registros de auditoría detallados requeridos por las regulaciones. | Recopilación de todas las modificaciones de archivos en carpetas que contienen datos confidenciales | Cumplir los requisitos normativos (PCI-DSS, HIPAA, RGPD) con seguimientos de auditoría forense detallados |
| Respuesta a incidentes | Debe recopilar datos forenses durante las investigaciones activas. | Recopilar temporalmente todas las conexiones de red de servidores potencialmente en peligro | Captura de pruebas detalladas para la investigación, identificación del movimiento lateral y apoyo a los esfuerzos de corrección |
| Detección de movimiento lateral | Debe supervisar los indicadores específicos del movimiento lateral. | Seguimiento de conexiones remotas y eventos de autenticación entre controladores de dominio | Detección de atacantes que se mueven entre sistemas mediante credenciales robadas o herramientas de acceso remoto |
Ventajas de la recopilación de datos personalizada
| Ventajas | Descripción |
|---|---|
| Visibilidad dirigida | Recopile solo los eventos que necesita, lo que reduce el ruido y controla los costos de ingesta de datos en Microsoft Sentinel |
| Búsqueda flexible | Creación de consultas personalizadas en telemetría especializada en Microsoft Sentinel para la búsqueda e investigación de amenazas profundas |
| Colección de evidencias | Captura de datos forenses detallados para investigaciones, auditorías de cumplimiento y respuesta a incidentes |
| Supervisión escalable | Recolección de destino a grupos de dispositivos específicos mediante etiquetas dinámicas, lo que garantiza que la recopilación permanece actualizada a medida que cambia el entorno. |
| Control de costos | Evitar la recopilación de datos innecesarios mediante filtros específicos y la selección de destino de dispositivos |
Importante
La recopilación de datos personalizada requiere la segmentación de dispositivos mediante etiquetas dinámicas. Debe configurar etiquetas dinámicas en Asset Rule Management antes de crear reglas de recopilación personalizadas. Consulte Creación y administración de etiquetas de dispositivo y dispositivos de destino.
Funcionamiento de la recopilación de datos personalizada
La recopilación de datos personalizada usa el filtrado basado en reglas para capturar eventos específicos de dispositivos de punto de conexión y enrutarlos al área de trabajo de Microsoft Sentinel para el análisis y la búsqueda de amenazas.
Proceso de recopilación
- Definir reglas: crear reglas de recopilación en el portal de Microsoft Defender con filtros de eventos específicos
- Dispositivos de destino: use etiquetas dinámicas para especificar qué dispositivos deben recopilar los datos.
- Implementar reglas: las reglas se transmiten a los puntos de conexión de destino (normalmente en un plazo de entre 20 minutos y 1 hora)
- Recopilar eventos: los puntos de conexión recopilan eventos que coinciden con los criterios de regla junto con la telemetría predeterminada
- Analizar datos: consulta de datos de eventos personalizados en el área de trabajo de Microsoft Sentinel
Nota:
Las reglas de recopilación de datos personalizadas funcionan junto con la configuración predeterminada de Defender para punto de conexión. La recopilación personalizada no reemplaza ni modifica la telemetría estándar, sino que se agrega a ella.
Tablas de eventos admitidas
La recopilación de datos personalizada admite las siguientes tablas de eventos. Cada tabla captura diferentes tipos de actividades relevantes para la seguridad:
| Nombre de tabla | Tipos de eventos | Se usa para |
|---|---|---|
| DeviceCustomProcessEvents | Creación de procesos, terminación y otras actividades de proceso | Supervisión de inicios ejecutables, seguimiento de árboles de procesos, detección de procesos malintencionados |
| DeviceCustomImageLoadEvents | Eventos de carga de archivos DLL e imágenes | Identificación de la inserción de bibliotecas malintencionadas, seguimiento de cargas sospechosas de módulos |
| DeviceCustomFileEvents | Creación, modificación, eliminación y acceso de archivos | Supervisión datos confidenciales acceso, seguimiento de indicadores de ransomware, auditoría de cumplimiento |
| DeviceCustomNetworkEvents | Eventos de conexión de red con direcciones IP, puertos y protocolos | Detección del movimiento lateral, supervisión de las comunicaciones C2, seguimiento de conexiones no autorizadas |
| DeviceCustomScriptEvents | Ejecución de scripts (PowerShell, JavaScript, etc.) | Detección de malware sin archivos, supervisión de scripts administrativos, identificación de ataques basados en scripts |
Para obtener información detallada sobre el esquema, vea Tablas de esquema de búsqueda avanzada.
Requisitos previos y requisitos
Antes de usar la recopilación de datos personalizada, asegúrese de cumplir los siguientes requisitos:
| Categoría de requisitos | Detalles |
|---|---|
| Licencias | • licencia del plan 2 de Microsoft Defender para punto de conexión |
| Microsoft Sentinel área de trabajo | • Área de trabajo de Microsoft Sentinel conectada para el almacenamiento y las consultas de datos personalizados • Debe seleccionar el área de trabajo al crear reglas de recopilación de datos personalizadas • Actualmente limitado a una Sentinel área de trabajo por inquilino para la recopilación de datos personalizada |
| Destino del dispositivo | • Etiquetas dinámicas configuradas en Asset Rule Management • Las etiquetas dinámicas deben ejecutarse al menos una vez antes de su uso en reglas de recopilación personalizadas. • Las etiquetas manuales (estáticas) no se admiten para la recopilación de datos personalizada. |
| Sistemas operativos | • Windows 10 y 11 (versión mínima del cliente 10.8805) : Windows 10 requiere la inscripción en el programa de Novedades de seguridad extendida (ESU) • Windows Server 2019 y versiones posteriores |
| Consideraciones sobre costes | • La recopilación de datos personalizada se incluye con licencias de Microsoft Defender para punto de conexión P2 • La ingesta de datos en Microsoft Sentinel incurre en cargos en función de su Sentinel acuerdo de facturación • Dirigir la recopilación cuidadosamente a grupos de dispositivos específicos para controlar el volumen y los costos de los datos |
| Límites de rendimiento | • Cada regla puede capturar hasta 25 000 eventos por dispositivo por ventana gradual de 24 horas • Cuando un dispositivo alcanza el umbral, la telemetría de esa regla específica se detiene hasta que se restablece la ventana. • Varias reglas pueden estar activas simultáneamente, cada una con su propio límite • La implementación de reglas normalmente tarda entre 20 minutos y 1 hora |
Consulte Creación de reglas de recopilación de datos personalizadas para conocer los requisitos previos completos y las instrucciones de instalación.
Preguntas frecuentes
| Pregunta | Respuesta |
|---|---|
| ¿Afecta la recopilación de datos personalizada a la configuración predeterminada de Defender para punto de conexión? | No, las reglas de recopilación de datos personalizadas funcionan junto con la configuración predeterminada de Defender para punto de conexión sin interferencias. La recopilación personalizada no reemplaza ni modifica la telemetría estándar, sino que se agrega a ella. |
| ¿Se requiere un área de trabajo Microsoft Sentinel? | Sí, necesita un área de trabajo Microsoft Sentinel conectada para crear y usar reglas de recopilación de datos personalizadas. También debe seleccionar el área de trabajo al crear reglas. |
| ¿Por qué se requieren etiquetas dinámicas? | Las etiquetas dinámicas garantizan que el destino del dispositivo permanece actualizado a medida que cambia el entorno. Las etiquetas manuales no se actualizan automáticamente, lo que podría dar lugar a un destino de recopilación obsoleto. Las etiquetas dinámicas también son necesarias para la integración con Asset Rule Management. |
| ¿Cómo puedo saber si una regla está activa en un dispositivo? | Consulte la tabla de eventos personalizada correspondiente para que el dispositivo vea los eventos recopilados. Por ejemplo:search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| ¿Qué ocurre cuando un dispositivo alcanza el límite de 25 000 eventos? | La recopilación de telemetría de esa regla específica se detiene hasta que se restablece la ventana gradual de 24 horas. Otras reglas del dispositivo siguen recopilando eventos. Refine las condiciones de regla para que sean más específicas y reduzcan el volumen de eventos. |
| ¿Puedo usar etiquetas manuales para la recopilación de datos personalizada? | No, solo se admiten etiquetas dinámicas. Las etiquetas dinámicas se actualizan automáticamente a medida que cambian las propiedades del dispositivo, lo que garantiza que el destino de la recopilación sea preciso. |
| ¿Cuánto tiempo tarda una regla en implementarse en los dispositivos? | La implementación de reglas suele tardar entre 20 minutos y 1 hora. Compruebe la implementación consultando las tablas de eventos personalizadas para obtener datos de dispositivos de destino. |
Pasos siguientes
- Creación de reglas de recopilación de datos personalizadas: instrucciones paso a paso para crear y administrar reglas
- Creación y administración de etiquetas de dispositivo y dispositivos de destino: configuración de etiquetas dinámicas para la selección de destino de dispositivos