Compartir a través de

Informes agregados en Microsoft Defender para punto de conexión

  • Artículo
  • Se aplica a:
    Microsoft Defender for Endpoint Plan 2

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Los informes agregados abordan las restricciones en los informes de eventos en Microsoft Defender para punto de conexión. Los informes agregados amplían los intervalos de informes de señales para reducir significativamente el tamaño de los eventos notificados y, al mismo tiempo, conservar las propiedades de eventos esenciales.

Defender para punto de conexión reduce el ruido en los datos recopilados para mejorar la relación señal-ruido al tiempo que equilibra el rendimiento y la eficiencia del producto. Limita la recopilación de datos para mantener este equilibrio.

Con los informes agregados, Defender para punto de conexión garantiza que todas las propiedades de eventos esenciales valiosas para la investigación y las actividades de búsqueda de amenazas se recopilan continuamente. Para ello, se amplían los intervalos de informes de una hora, lo que reduce el tamaño de los eventos notificados y permite una recopilación de datos eficaz pero valiosa.

Cuando los informes agregados están activados, puede consultar un resumen de todos los tipos de eventos admitidos, incluida la telemetría de baja eficacia, que puede usar para actividades de investigación y búsqueda.

Requisitos previos

Se deben cumplir los siguientes requisitos antes de activar los informes agregados:

  • Licencia de Defender para punto de conexión 2
  • Permisos para habilitar características avanzadas

Los informes agregados admiten lo siguiente:

  • Versión de cliente: Windows versión 2411 y posteriores
  • Sistemas operativos: Windows 11 22H2, Windows Server 2022, Windows 11 Empresas, Windows 10 20H2, 21H1, 21H2, Windows Server versión 20H2 y Windows Server 2019

Activar informes agregados

Para activar los informes agregados, vaya a Configuración > Puntos de conexión Características avanzadas>. Active la característica Informes agregados .

Captura de pantalla del botón de alternancia de informes agregados en la página de configuración del portal de Microsoft Defender.

Una vez activados los informes agregados, los informes agregados pueden tardar hasta siete días en estar disponibles. A continuación, puede empezar a consultar nuevos datos después de activar la característica.

Al desactivar los informes agregados, los cambios tardan unas horas en aplicarse. Todos los datos recopilados anteriormente permanecen.

Consulta de informes agregados

Los informes agregados admiten los siguientes tipos de eventos:

Tipo de acción Tabla de búsqueda avanzada Presentación de la escala de tiempo del dispositivo Propiedades
FileCreatedAggregatedReport DeviceFileEvents {ProcessName} ha creado {Occurrences} {FilePath} archivos 1. Ruta de acceso
del archivo 2.
Extensión de archivo 3. Nombre del proceso
FileRenamedAggregatedReport DeviceFileEvents {ProcessName} se ha cambiado el nombre de los archivos {Occurrences} {FilePath}. 1. Ruta de acceso
del archivo 2.
Extensión de archivo 3. Nombre del proceso
FileModifiedAggregatedReport DeviceFileEvents {ProcessName} modificado {Occurrences} {FilePath} files 1. Ruta de acceso
del archivo 2.
Extensión de archivo 3. Nombre del proceso
ProcessCreatedAggregatedReport DeviceProcessEvents {InitiatingProcessName} creó {Occurrences} {ProcessName} procesos 1. Iniciar la línea
de comandos del proceso 2. Proceso de inicio SHA1
3. Iniciar la ruta de acceso
del archivo de proceso 4. Procesar línea de comandos
5. Procesar SHA1
6. Ruta de acceso de carpeta
ConnectionSuccessAggregatedReport DeviceNetworkEvents {InitiatingProcessName} estableció conexiones {Occurrences} con {RemoteIP}:{RemotePort} 1. Iniciar el nombre
del proceso 2.
IP de origen 3. IP
remota 4. Puerto remoto
ConnectionFailedAggregatedReport DeviceNetworkEvents {InitiatingProcessName} no pudo establecer conexiones {Occurrences} con {RemoteIP:RemotePort} 1. Iniciar el nombre
del proceso 2.
IP de origen 3. IP
remota 4. Puerto remoto
LogonSuccessAggregatedReport DeviceLogonEvents {Repeticiones} Inicios de sesión de {LogonType} por {UserName}\{DomainName} 1. Nombre de usuario
de destino 2. SID
de usuario de destino 3. Nombre de dominio
de destino 4. Tipo de inicio de sesión
LogonFailedAggregatedReport DeviceLogonEvents {Repeticiones}{Error en los inicios de sesión de {LogonType} por {UserName}\{DomainName} 1. Nombre de usuario
de destino 2. SID
de usuario de destino 3. Nombre de dominio
de destino 4. Tipo de inicio de sesión

Nota:

Al activar los informes agregados, se mejora la visibilidad de la señal, lo que podría suponer mayores costos de almacenamiento si se transmiten tablas de búsqueda avanzada de Defender para punto de conexión a las soluciones siem o de almacenamiento.

Para consultar nuevos datos con informes agregados:

  1. Vaya a Investigación & respuesta > Búsqueda > de reglas de detección personalizadas.
  2. Revise y modifique las reglas y consultas existentes que podrían verse afectadas por los informes agregados.
  3. Cuando sea necesario, cree nuevas reglas personalizadas para incorporar nuevos tipos de acción.
  4. Vaya a la página Búsqueda avanzada y consulte los nuevos datos.

Este es un ejemplo de resultados de consultas de búsqueda avanzada con informes agregados.

Captura de pantalla de los resultados de consultas de búsqueda avanzada con informes agregados.

Consultas de búsqueda avanzadas de ejemplo

Puede usar las siguientes consultas de KQL para recopilar información específica mediante informes agregados.

Consulta de actividad de proceso ruidoso

La consulta siguiente resalta la actividad del proceso ruidoso, que se puede correlacionar con señales malintencionadas.

DeviceProcessEvents
| where Timestamp > ago(1h)
| where ActionType == "ProcessCreatedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| project-reorder Timestamp, uniqueEventsAggregated, ProcessCommandLine, InitiatingProcessCommandLine, ActionType, SHA1, FolderPath, InitiatingProcessFolderPath, DeviceName
| sort by uniqueEventsAggregated desc

Consulta de errores repetidos de intento de inicio de sesión

En la consulta siguiente se identifican errores repetidos de intento de inicio de sesión.

DeviceLogonEvents
| where Timestamp > ago(30d)
| where ActionType == "LogonFailedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder Timestamp, DeviceId, uniqueEventsAggregated, LogonType, AccountName, AccountDomain, AccountSid
| sort by uniqueEventsAggregated desc

Consulta de conexiones RDP sospechosas

La consulta siguiente identifica conexiones RDP sospechosas, lo que podría indicar actividad malintencionada.

DeviceNetworkEvents
| where Timestamp > ago(1d)
| where ActionType endswith "AggregatedReport"
| where RemotePort == "3389"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder ActionType, Timestamp, uniqueEventsAggregated 
| sort by uniqueEventsAggregated desc