重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
自定义数据收集 (预览版) 使组织能够将遥测收集扩展到默认配置之外,以支持专用威胁搜寻和安全监视需求。 此功能允许安全团队使用针对文件夹路径、进程名称和网络连接等事件属性的定制筛选器来定义特定的收集规则。
为何使用自定义数据收集?
默认情况下,Microsoft Defender for Endpoint会收集大量遥测数据,但某些安全方案需要其他专用数据。 如果需要针对威胁搜寻、应用程序监视、合规性证据或事件响应提供有针对性的可见性,而无需收集所有事件的成本和干扰,请使用自定义数据收集。
何时使用自定义数据收集
| 应用场景 | 使用时间 | 示例 | 安全值 |
|---|---|---|---|
| 威胁搜寻 | 需要在整个环境中搜索特定的攻击模式 | 从管理工作站收集所有 PowerShell 脚本执行以检测恶意脚本 | 检测特权系统上的无文件恶意软件、恶意脚本或未经授权的自动化 |
| 应用程序监视 | 需要跟踪自定义应用程序的安全相关事件 | 监视专有财务应用程序的文件访问模式 | 识别未经授权的访问、数据外泄尝试或业务线应用的合规性违规行为 |
| 合规性证据 | 需要捕获法规要求的详细审核日志 | 收集包含敏感数据的文件夹中的所有文件修改 | 通过详细的取证审核线索 (PCI-DSS、HIPAA、GDPR) 满足法规要求 |
| 事件响应 | 需要在活动调查期间收集取证数据 | 暂时从可能遭到入侵的服务器收集所有网络连接 | 捕获用于调查的详细证据、识别横向移动和支持修正工作 |
| 横向移动检测 | 需要监视横向移动的特定指标 | 跨域控制器跟踪远程连接和身份验证事件 | 检测使用被盗凭据或远程访问工具在系统之间移动的攻击者 |
自定义数据收集的优点
| 效益 | 说明 |
|---|---|
| 目标可见性 | 仅收集所需的事件,降低干扰并控制Microsoft Sentinel中的数据引入成本 |
| 灵活搜寻 | 针对Microsoft Sentinel中专用遥测生成自定义查询,以便进行深入的威胁搜寻和调查 |
| 证据收集 | 捕获详细的取证数据,以便进行调查、合规性审核和事件响应 |
| 可缩放的监视 | 使用动态标记将集合定向到特定设备组,确保集合在环境更改时保持最新状态 |
| 成本控制 | 通过使用特定筛选器和设备目标来避免收集不必要的数据 |
重要
自定义数据收集需要使用动态标记来设定设备目标。 在创建自定义集合规则之前,必须在资产规则管理中配置动态标记。 请参阅 创建和管理设备标记和目标设备。
自定义数据收集的工作原理
自定义数据收集使用基于规则的筛选从终结点设备捕获特定事件,并将其路由到Microsoft Sentinel工作区进行分析和威胁搜寻。
收集过程
- 定义规则:使用特定事件筛选器在 Microsoft Defender 门户中创建集合规则
- 目标设备:使用动态标记指定应收集数据的设备
- 部署规则:规则通常在 20 分钟到 1 小时内 (传输到目标终结点)
- 收集事件:终结点收集与规则条件匹配的事件以及默认遥测
- 分析数据:查询Microsoft Sentinel工作区中的自定义事件数据
注意
自定义数据收集规则与默认 Defender for Endpoint 配置一起使用。 自定义集合不会替换或修改标准遥测 ,它会向其中添加数据。
支持的事件表
自定义数据收集支持以下事件表。 每个表捕获不同类型的安全相关活动:
| 表名 | 事件类型 | 用于 |
|---|---|---|
| DeviceCustomProcessEvents | 进程创建、终止和其他进程活动 | 监视可执行文件启动、跟踪进程树、检测恶意进程 |
| DeviceCustomImageLoadEvents | DLL 和图像加载事件 | 识别恶意库注入,跟踪可疑模块负载 |
| DeviceCustomFileEvents | 文件创建、修改、删除和访问 | 监视敏感数据访问、跟踪勒索软件指标、合规性审核 |
| DeviceCustomNetworkEvents | 具有 IP、端口和协议的网络连接事件 | 检测横向移动、监视 C2 通信、跟踪未经授权的连接 |
| DeviceCustomScriptEvents | 脚本执行 (PowerShell、JavaScript 等 ) | 检测无文件恶意软件、监视管理脚本、识别基于脚本的攻击 |
有关详细的架构信息,请参阅 高级搜寻架构表。
先决条件和要求
在使用自定义数据收集之前,请确保满足以下要求:
| 要求类别 | 详细信息 |
|---|---|
| 许可证 | • Microsoft Defender for Endpoint计划 2 许可证 |
| Microsoft Sentinel工作区 | • 用于自定义数据存储和查询的连接Microsoft Sentinel工作区 • 创建自定义数据收集规则时必须选择工作区 • 当前限制为每个租户一个Sentinel工作区,用于自定义数据收集 |
| 设备目标 | • 在资产规则管理中配置的动态标记 • 动态标记必须至少运行一次,然后才能在自定义集合规则中使用 • 自定义数据收集不支持手动 (静态) 标记 |
| 操作系统 | • Windows 10 和 11 (最低客户端版本 10.8805) - Windows 10需要注册扩展安全汇报 (ESU) 计划 • Windows Server 2019 及更高版本 |
| 成本因素 | • 自定义数据收集包含在 Microsoft Defender for Endpoint P2 许可中 • 将数据引入Microsoft Sentinel会根据Sentinel计费安排产生费用 • 将集合仔细定位到特定设备组,以控制数据量和成本 |
| 性能限制 | • 每个规则每 24 小时滚动窗口每个设备最多可以捕获 25,000 个事件 • 当设备达到阈值时,该特定规则的遥测将停止,直到窗口重置 • 多个规则可以同时处于活动状态,每个规则都有其自己的限制 • 规则部署通常需要 20 分钟到 1 小时 |
有关完整的先决条件和设置说明,请参阅 创建自定义数据收集规则 。
常见问题解答
| 问题 | 答案 |
|---|---|
| 自定义数据收集是否影响默认的 Defender for Endpoint 配置? | 否,自定义数据收集规则与 Defender for Endpoint 默认配置一起使用,且不受干扰。 自定义集合不会替换或修改标准遥测 ,它会向其中添加数据。 |
| 是否需要Microsoft Sentinel工作区? | 是的,需要一个连接的Microsoft Sentinel工作区来创建和使用自定义数据收集规则。 创建规则时,还必须选择工作区。 |
| 为什么需要动态标记? | 动态标记可确保设备目标在环境更改时保持最新状态。 手动标记不会自动更新,这可能会导致过时的集合目标。 与资产规则管理集成还需要动态标记。 |
| 如何判断某个规则在设备上是否处于活动状态? | 查询设备的相关自定义事件表以查看收集的事件。 例如:search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| 当设备达到 25,000 个事件限制时会发生什么情况? | 该特定规则的遥测收集将停止,直到 24 小时滚动窗口重置。 设备上的其他规则会继续收集事件。 优化规则条件,使其更具体并减少事件量。 |
| 是否可以将手动标记用于自定义数据收集? | 否,仅支持动态标记。 动态标记在设备属性更改时自动更新,确保集合目标保持准确。 |
| 将规则部署到设备需要多长时间? | 规则部署通常需要 20 分钟到 1 小时。 通过查询来自目标设备的数据的自定义事件表来验证部署。 |
后续步骤
- 创建自定义数据收集规则:创建和管理规则的分步说明
- 创建和管理设备标记和目标设备:为设备目标配置动态标记