Jaa

Koostettu raportointi Microsoft Defender for Endpoint

  • Artikkeli
  • Koskee seuraavia::
    Microsoft Defender for Endpoint Plan 2

Koosteraportointi käsittelee tapahtumaraportoinnin rajoituksia Microsoft Defender for Endpoint. Koostettu raportointi pidentää signaalien raportointivälejä ja pienentää merkittävästi raportoitujen tapahtumien kokoa säilyttäen samalla olennaiset tapahtumaominaisuudet.

Defender for Endpoint vähentää kerättyjen tietojen kohinaa parantaakseen signaalien ja melun suhdetta tasapainottaen samalla tuotteen suorituskykyä ja tehokkuutta. Se rajoittaa tietojen keräämistä tämän saldon ylläpitämiseksi.

Koosteraportoinnin avulla Defender for Endpoint varmistaa, että kaikki olennaiset tapahtumaominaisuudet, jotka ovat arvokkaita tutkimukselle ja uhkien metsästystoiminnalle, kerätään jatkuvasti. Se tekee tämän pidennetyillä yhden tunnin raportointiväleillä, mikä pienentää raportoitujen tapahtumien kokoa ja mahdollistaa tehokkaan mutta arvokkaan tietojen keräämisen.

Kun koosteraportointi on käytössä, voit hakea yhteenvedon kaikista tuetuista tapahtumatyypeistä, mukaan lukien tehokkuustason telemetriatiedot, joita voit käyttää tutkinnassa ja metsästyksessä.

Ennakkovaatimukset

Seuraavat vaatimukset on täytettävä, ennen kuin koosteraportointi otetaan käyttöön:

  • Defender for Endpoint Plan 2 -käyttöoikeus
  • Lisäominaisuuksien käyttöönotto-oikeudet

Koosteraportointi tukee seuraavia:

  • Asiakasversio: Windows 2411 ja uudemmat
  • Käyttöjärjestelmät: Windows 11 22H2, Windows 11 Enterprise, Windows 10 20H2, 21H1, 21H2, Windows Server 2025, Windows Server 2022, Windows Server 2019 tai Windows Server versio 20H2

Koostetun raportoinnin ottaminen käyttöön

Jos haluat ottaa koostetun raportoinnin käyttöön, siirry kohtaan Asetukset > Päätepisteet Lisäominaisuudet>. Vaihda Koosteraportointi-ominaisuutta .

Näyttökuva koostetun raportoinnin kytkimestä Microsoft Defender portaalin asetussivulla.

Kun koosteraportointi on otettu käyttöön, koostetun raportin tuleminen saataville voi kestää jopa seitsemän päivää. Voit sitten aloittaa uusien tietojen kyselyn, kun ominaisuus on otettu käyttöön.

Kun poistat koostetun raportoinnin käytöstä, muutosten ottaminen käyttöön kestää muutaman tunnin. Kaikki aiemmin kerätyt tiedot säilyvät.

Kyselyn koostetut raportit

Koosteraportointi tukee seuraavia tapahtumatyyppejä:

Toiminnon tyyppi Kehittynyt metsästyspöytä Laitteen aikajanaesitys Ominaisuudet
TiedostoLuotu koosteraportti DeviceFileEvents {ProcessName} loi {Occurrences} {FilePath} tiedostoa 1. Tiedostopolku
2. Tiedostotunniste
3. Prosessin nimi
TiedostoRenamedAggregatedReport DeviceFileEvents {ProcessName} nimesi uudelleen {Occurrences} {FilePath} tiedostoa 1. Tiedostopolku
2. Tiedostotunniste
3. Prosessin nimi
FileModifiedAggregatedReport DeviceFileEvents {ProcessName} muokkasi {Occurrences} {FilePath} tiedostoa 1. Tiedostopolku
2. Tiedostotunniste
3. Prosessin nimi
ProcessCreatedAggregatedReport DeviceProcessEvents {InitiatingProcessName} loi {Occurrences} {ProcessName} -prosessit 1. Aloitetaan prosessin komentorivi
2. Aloitetaan prosessia SHA1
3. Aloitetaan prosessitiedostopolkua
4. Käsittele komentorivi
5. Prosessi SHA1
6. Kansiopolku
ConnectionSuccessAggregatedReport DeviceNetworkEvents {InitiatingProcessName} muodosti {Occurrences} yhteyttä kohteeseen {RemoteIP}:{RemotePort} 1. Aloitetaan prosessin nimi
2. Lähde-IP
3. Etä-IP
4. Etäportti
Yhteyden muodostaminen epäonnistuiAggregatedReport DeviceNetworkEvents {InitiatingProcessName} ei voinut muodostaa {Occurrences}-yhteyksiä kohteeseen {RemoteIP:RemotePort} 1. Aloitetaan prosessin nimi
2. Lähde-IP
3. Etä-IP
4. Etäportti
LogonSuccessAggregatedReport DeviceLogonEvents {Esiintymät} {LogonType} kirjautumista käyttäjälle {UserName}\{DomainName} 1. Kohdekäyttäjänimi
2. Kohdekäyttäjän SID
3. Kohdetoimialueen nimi
4. Kirjautumistyyppi
Sisäänkirjautuminen epäonnistuiAggregatedReport DeviceLogonEvents {Esiintymät}{LogonType} sisäänkirjautuminen epäonnistui: {UserName}\{DomainName} 1. Kohdekäyttäjänimi
2. Kohdekäyttäjän SID
3. Kohdetoimialueen nimi
4. Kirjautumistyyppi

Huomautus

Koostetun raportoinnin ottaminen käyttöön parantaa signaalin näkyvyyttä, mikä saattaa aiheuttaa suurempia tallennuskustannuksia, jos suoratoistat Defender for Endpointin kehittyneitä metsästystaulukoita SIEM- tai tallennusratkaisuihisi.

Kyselyn tekeminen uusista tiedoista koosteraporteilla:

  1. Siirry kohtaan Tutkimus & vastauksen > metsästyksen > mukautetut tunnistussäännöt.
  2. Tarkastele ja muokkaa olemassa olevia sääntöjä ja kyselyitä , joihin koostettu raportointi saattaa vaikuttaa.
  3. Luo tarvittaessa uusia mukautettuja sääntöjä, jotka sisältävät uusia toimintotyyppejä.
  4. Siirry Kehittyneen metsästyksen sivulle ja tee kysely uusista tiedoista.

Tässä on esimerkki kehittyneen metsästyksen kyselytuloksista koosteraporteilla.

Näyttökuva kehittyneen metsästyksen kyselytuloksista koostettuina raportteina.

Kehittyneen metsästyksen mallikyselyt

Voit käyttää seuraavia KQL-kyselyitä tiettyjen tietojen keräämiseen koostetun raportoinnin avulla.

Kysely meluisasta prosessitoiminnosta

Seuraava kysely korostaa meluisan prosessin toiminnan, joka voidaan korreloida haitallisten signaalien kanssa.

DeviceProcessEvents
| where Timestamp > ago(1h)
| where ActionType == "ProcessCreatedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| project-reorder Timestamp, uniqueEventsAggregated, ProcessCommandLine, InitiatingProcessCommandLine, ActionType, SHA1, FolderPath, InitiatingProcessFolderPath, DeviceName
| sort by uniqueEventsAggregated desc

Toistuvia kirjautumisyritysten virheitä koskevat kyselyt

Seuraavassa kyselyssä tunnistetaan toistuvat kirjautumisyrityksen epäonnistumiset.

DeviceLogonEvents
| where Timestamp > ago(30d)
| where ActionType == "LogonFailedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder Timestamp, DeviceId, uniqueEventsAggregated, LogonType, AccountName, AccountDomain, AccountSid
| sort by uniqueEventsAggregated desc

Epäilyttävien RDP-yhteyksien kysely

Seuraavassa kyselyssä tunnistetaan epäilyttävät RDP-yhteydet, jotka saattavat viitata haitalliseen toimintaan.

DeviceNetworkEvents
| where Timestamp > ago(1d)
| where ActionType endswith "AggregatedReport"
| where RemotePort == "3389"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder ActionType, Timestamp, uniqueEventsAggregated 
| sort by uniqueEventsAggregated desc