Condividi tramite


Creazione di report aggregati in Microsoft Defender per endpoint

La creazione di report aggregati risolve i vincoli per la creazione di report degli eventi in Microsoft Defender per endpoint. La creazione di report aggregati estende gli intervalli di segnalazione dei segnali per ridurre significativamente le dimensioni degli eventi segnalati, mantenendo al tempo stesso le proprietà essenziali degli eventi.

Defender per endpoint riduce il rumore nei dati raccolti per migliorare il rapporto segnale-rumore bilanciando al tempo stesso le prestazioni e l'efficienza del prodotto. Limita la raccolta dei dati per mantenere questo equilibrio.

Con la creazione di report aggregati, Defender per endpoint garantisce che tutte le proprietà degli eventi essenziali utili per le attività di analisi e ricerca delle minacce vengano raccolte continuamente. Questa operazione viene eseguita con intervalli di report estesi di un'ora, che riducono le dimensioni degli eventi segnalati e consentono una raccolta di dati efficiente ma utile.

Quando la creazione di report aggregati è attivata, è possibile eseguire una query per un riepilogo di tutti i tipi di evento supportati, inclusi i dati di telemetria a bassa efficacia, che è possibile usare per le attività di analisi e ricerca.

Prerequisiti

Prima di attivare la creazione di report aggregati, è necessario soddisfare i requisiti seguenti:

  • Licenza di Defender per endpoint piano 2
  • Autorizzazioni per abilitare le funzionalità avanzate

La creazione di report aggregati supporta quanto segue:

  • Versione client: Windows versione 2411 e successive
  • Sistemi operativi: Windows 11 22H2, Windows 11 Enterprise, Windows 10 20H2, 21H1, 21H2, Windows Server 2025, Windows Server 2022, Windows Server 2019 o Windows Server versione 20H2

Attivare la creazione di report aggregati

Per attivare la creazione di report aggregati, passare a Impostazioni > Funzionalità avanzate degli > endpoint. Attivare o disattivare la funzionalità di creazione di report aggregati .

Screenshot dell'interruttore di creazione di report aggregati nella pagina delle impostazioni del portale di Microsoft Defender.

Dopo l'attivazione della creazione di report aggregati, possono essere necessari fino a sette giorni prima che i report aggregati diventino disponibili. È quindi possibile iniziare a eseguire query sui nuovi dati dopo l'attivazione della funzionalità.

Quando si disattiva la creazione di report aggregati, l'applicazione delle modifiche richiede alcune ore. Tutti i dati raccolti in precedenza rimangono.

Eseguire query sui report aggregati

La creazione di report aggregati supporta i tipi di evento seguenti:

Tipo di azione Tabella di ricerca avanzata Presentazione della sequenza temporale del dispositivo Proprietà
FileCreatedAggregatedReport DeviceFileEvents {ProcessName} ha creato {Occorrenze} {FilePath} file 1. Percorso
del file 2. Estensione
di file 3. Nome processo
FileRenamedAggregatedReport DeviceFileEvents {ProcessName} rinominato {Occorrenze} {FilePath} file 1. Percorso
del file 2. Estensione
di file 3. Nome processo
FileModifiedAggregatedReport DeviceFileEvents {ProcessName} modificato {Occorrenze} {FilePath} file 1. Percorso
del file 2. Estensione
di file 3. Nome processo
ProcessCreatedAggregatedReport DeviceProcessEvents {InitiatingProcessName} created {Occurrences} {ProcessName} processes 1. Avvio della riga
di comando del processo 2. Processo di avvio SHA1
3. Percorso del file
di processo di avvio 4. Elaborare la riga di
comando 5. Elaborare SHA1
6. Percorso cartella
ConnectionSuccessAggregatedReport DeviceNetworkEvents {InitiatingProcessName} stabilisce {Occurrences} connessioni con {RemoteIP}:{RemotePort} 1. Avvio del nome
del processo 2. IP
di origine 3. IP
remoto 4. Porta remota
ConnectionFailedAggregatedReport DeviceNetworkEvents {InitiatingProcessName} non è riuscito a stabilire connessioni {Occorrenze} con {RemoteIP:RemotePort} 1. Avvio del nome
del processo 2. IP
di origine 3. IP
remoto 4. Porta remota
LogonSuccessAggregatedReport DeviceLogonEvents {Occorrenze} {LogonType} accessi da {UserName}\{DomainName} 1. Nome utente
di destinazione 2. Sid
3 dell'utente di destinazione. Nome di
dominio di destinazione 4. Tipo di accesso
LogonFailedAggregatedReport DeviceLogonEvents {Occorrenze}{LogonType} accessi non riusciti da {UserName}\{DomainName} 1. Nome utente
di destinazione 2. Sid
3 dell'utente di destinazione. Nome di
dominio di destinazione 4. Tipo di accesso

Nota

L'attivazione della creazione di report aggregati migliora la visibilità del segnale, che potrebbe comportare costi di archiviazione più elevati se si esegue lo streaming di tabelle avanzate di ricerca di Defender per endpoint nelle soluzioni SIEM o di archiviazione.

Per eseguire query sui nuovi dati con report aggregati:

  1. Passare a Indagine & risposta > Ricerca > regole di rilevamento personalizzate.
  2. Esaminare e modificare le regole e le query esistenti che potrebbero essere interessate dalla creazione di report aggregati.
  3. Se necessario, creare nuove regole personalizzate per incorporare nuovi tipi di azione.
  4. Passare alla pagina Ricerca avanzata ed eseguire query sui nuovi dati.

Di seguito è riportato un esempio di risultati di query di ricerca avanzata con report aggregati.

Screenshot dei risultati delle query di ricerca avanzata con report aggregati.

Query di ricerca avanzate di esempio

È possibile usare le query KQL seguenti per raccogliere informazioni specifiche usando la creazione di report aggregati.

Query per l'attività di processo rumorosa

La query seguente evidenzia l'attività di processo rumorosa, che può essere correlata a segnali dannosi.

DeviceProcessEvents
| where Timestamp > ago(1h)
| where ActionType == "ProcessCreatedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| project-reorder Timestamp, uniqueEventsAggregated, ProcessCommandLine, InitiatingProcessCommandLine, ActionType, SHA1, FolderPath, InitiatingProcessFolderPath, DeviceName
| sort by uniqueEventsAggregated desc

Eseguire una query per gli errori di tentativo di accesso ripetuto

La query seguente identifica gli errori ripetuti del tentativo di accesso.

DeviceLogonEvents
| where Timestamp > ago(30d)
| where ActionType == "LogonFailedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder Timestamp, DeviceId, uniqueEventsAggregated, LogonType, AccountName, AccountDomain, AccountSid
| sort by uniqueEventsAggregated desc

Eseguire una query per le connessioni RDP sospette

La query seguente identifica connessioni RDP sospette, che potrebbero indicare attività dannose.

DeviceNetworkEvents
| where Timestamp > ago(1d)
| where ActionType endswith "AggregatedReport"
| where RemotePort == "3389"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder ActionType, Timestamp, uniqueEventsAggregated 
| sort by uniqueEventsAggregated desc