重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
本文介绍如何在 Microsoft Defender 门户中创建和管理自定义数据收集规则。
提示
创建自定义收集规则之前,请查看 自定义数据收集 ,了解何时以及为何使用此功能。
先决条件
确保:
| 要求 | 详细信息 |
|---|---|
| License | Microsoft Defender for Endpoint计划 2 |
| Microsoft Sentinel工作区 | 自定义数据存储) 所需的Microsoft Sentinel工作区 ( |
| 动态标记 | 在 资产规则管理 中配置并至少运行一次 |
| 支持的操作系统 | • Windows 10 和 11 (最低客户端版本 10.8805;Windows 10需要 ESU 注册) • Windows Server 2019 及更高版本 |
重要
即使已连接Microsoft Sentinel工作区,也必须在创建自定义数据收集规则时选择工作区。
性能和限制
- 每个规则最多可以捕获 每个设备 24 小时滚动窗口 25,000 个事件
- 当设备达到阈值时,该规则的遥测将停止,直到窗口重置
- 规则部署通常需要 20 分钟到 1 小时
- 自定义集合与默认配置一起运行,不受干扰
安全注意事项
在创建规则之前,请考虑以下安全隐患:
| 注意事项 | 详细信息 | 建议 |
|---|---|---|
| 规则范围影响 | 过于宽泛的规则会产生大量数据,增加了成本并使得分析变得困难 | 通过基于初始结果迭代和优化规则来平衡具体性和覆盖率 |
| 规则太窄 | 可能错过重要的安全事件 | 使用试点组进行测试并监视覆盖率差距 |
| 性能注意事项 | 每个设备每天每个规则有 25,000 个事件限制 | 使用多个重点规则,而不是一个过于宽泛的规则;将规则仔细定位到必须监视的设备 |
| 测试策略 | 在不进行测试的情况下部署规则可能会导致意外成本或错过事件 | 1. 从一个小型试点组开始, (5-10 台设备) 2. 监视 24-48 小时的数据量和事件质量 3. 基于结果优化条件 4. 逐渐扩展到更大的设备组 5. 定期查看成本和性能指标 |
数据成本
- 自定义数据收集包含在 Microsoft Defender for Endpoint P2 中
- 数据引入到Microsoft Sentinel会根据Sentinel计费产生费用
- 将集合定向到特定设备组以控制成本
创建规则
在Microsoft Defender门户中,导航到“设置>终结点>规则>自定义数据收集”。
若要载入Microsoft Sentinel工作区,请在右上角选择Microsoft Sentinel工作区名称。
在 “工作区范围 ”页中,选择工作区。
注意
需要在此阶段选择工作区,即使已连接Microsoft Sentinel工作区也是如此。
选择“ 创建规则”。 在“ 常规信息 ”部分中,键入规则名称和说明,然后选择“ 下一步”。
在 “创建规则 ”部分中:
- 选择要从哪个表收集数据。 有关详细信息,请参阅 支持的事件表。
- 选择要为其收集数据的操作。
- 添加规则条件以进一步筛选数据。 可以添加多个条件来优化数据收集。 规则条件基于所选表。 有关详细信息,请参阅 支持的事件表下的相应表链接。
选择 下一步。
在 “定义规则范围 ”部分中,选择是要从所有适用的客户端设备收集数据,还是从包含动态标记的特定设备收集数据。 有关详细信息,请参阅 在资产规则管理中为设备创建动态规则。
注意
自定义数据收集仅支持动态标记。
在 “查看并完成 ”部分中,查看规则设置,然后选择“ 提交”。
将规则部署到目标设备最多可能需要一小时。
监视和疑难解答
部署自定义数据收集规则后,监视其性能并排查任何问题。
验证规则部署
若要检查规则是否从特定设备收集数据,请在高级搜寻中查询自定义事件表:
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents, DeviceCustomProcessEvents, DeviceCustomImageLoadEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize EventCount = count() by RuleName, RuleLastModificationTime, $table
| order by RuleLastModificationTime desc
常见问题和解决方案
| 问题 | 可能的原因 | 解决方案 |
|---|---|---|
| 未收集任何事件 | 尚未部署规则 | 等待长达 1 小时进行部署;门户中检查规则状态 |
| 未收集任何事件 | 设备未正确定位 | 验证动态标记是否已应用于设备和标记规则是否已在资产规则管理中运行 |
| 事件已停止收集 | 已达到 25,000 个事件限制 | 查看规则条件,使其更具体;等待 24 小时窗口重置 |
| 收集数据的意外设备 | 广泛应用的动态标记 | 查看资产规则管理中的标记规则;优化目标条件 |
| 规则在设备上不可见 | 设备不符合 OS 要求 | 检查客户端版本和 OS 版本是否满足最低要求 (Windows 10/11 版本 10.8805+,Windows Server 2019+) |
| 自定义集合未初始化 | EDR 排除可能会阻止收集 | 检查目标路径或进程的 EDR 排除项;如果自定义集合未初始化,可能需要重启设备 |
| 标记未更新 | 动态标记最近未运行 | 动态标记大约每小时更新一次 - 检查资产规则管理中的上次运行时间 |
监视规则性能
- 检查事件量:查询自定义事件表以查看每个规则收集的事件数
- 查看收集状态:监视设备是否接近每天每个规则 25,000 个事件限制
- 验证目标:确保根据动态标记将规则部署到正确的设备
收集所有用于测试的事件
若要从特定表收集所有事件, (用于测试或全面监视) :
- 使用所需表创建规则
- 选择所有可用操作
- 添加始终为 true 的条件,例如:
- 对于网络事件:
RemotePort not equals 0 - 对于文件事件:
FileName not equals "" - 对于进程事件:
ProcessCommandLine not equals ""
- 对于网络事件:
- 由于数据量大,首先面向小型试点组
警告
收集所有事件会生成非常大的数据量,并且可以快速达到每个设备 25,000 个事件的限制。 仅在少量设备上出于测试或特定调查目的使用综合收集。
管理规则
编辑规则
- 导航到“设置终结点>规则>自定义数据收集”>
- 选择要编辑的规则
- 选择 “编辑”
- 根据需要修改规则设置, (名称、说明、表、操作、条件或设备目标)
- 选择“提交”
更改在 20 分钟到 1 小时内对目标设备生效。
启用或禁用规则
- 在 “自定义数据收集”中,选择规则
- 选中或清除规则说明下的 “启用 ”复选框
禁用规则时,数据收集将停止在下一个代理检查内的所有目标设备上 (通常在几分钟到 1 小时内) 。
删除规则
- 在 “自定义数据收集”中,选择规则
- 选择 “删除”
- 确认删除
重要
删除规则是永久性的,无法撤消。 Microsoft Sentinel中的历史数据仍然可用,但新收集会立即停止。
后续步骤
- 自定义数据收集概述:查看功能和何时使用自定义集合
- 创建和管理设备标记和目标设备:了解标记如何大规模启用设备目标
- 高级搜寻:查询 Microsoft Sentinel 中的自定义事件表