Aggregert rapportering i Microsoft Defender for endepunkt
Aggregert rapportering adresserer begrensninger for hendelsesrapportering i Microsoft Defender for endepunkt. Aggregert rapportering utvider signalrapporteringsintervaller for å redusere størrelsen på rapporterte hendelser betraktelig, samtidig som viktige hendelsesegenskaper bevares.
Defender for Endpoint reduserer støy i innsamlede data for å forbedre signal-til-støy-forholdet samtidig som du balanserer produktytelse og effektivitet. Det begrenser datainnsamling for å opprettholde denne balansen.
Med aggregert rapportering sikrer Defender for Endpoint at alle viktige hendelsesegenskaper som er verdifulle for undersøkelser og trusseljaktaktiviteter, samles inn kontinuerlig. Den gjør dette med utvidede rapporteringsintervaller på én time, noe som reduserer størrelsen på rapporterte hendelser og muliggjør effektiv, men verdifull datainnsamling.
Når aggregert rapportering er aktivert, kan du spørre etter et sammendrag av alle støttede hendelsestyper, inkludert telemetri med lav effekt, som du kan bruke til undersøkelses- og jaktaktiviteter.
Forutsetninger
Følgende krav må oppfylles før du slår på aggregert rapportering:
- Lisens for Defender for Endpoint Plan 2
- Tillatelser til å aktivere avanserte funksjoner
Aggregert rapportering støtter følgende:
- Klientversjon: Windows versjon 2411 og nyere
- Operativsystemer: Windows 11 22H2, Windows 11 Enterprise, Windows 10 20H2, 21H1, 21H2, Windows Server 2025, Windows Server 2022, Windows Server 2019 eller Windows Server versjon 20H2
Slå på aggregert rapportering
Hvis du vil aktivere aggregert > rapportering, kan du gå til Avanserte funksjoner for Innstillinger-endepunkter>. Aktiver/ deaktiver funksjonen for aggregert rapportering .
Når aggregert rapportering er aktivert, kan det ta opptil sju dager før aggregerte rapporter blir tilgjengelige. Deretter kan du begynne å spørre etter nye data etter at funksjonen er aktivert.
Når du deaktiverer aggregert rapportering, tar det noen timer før endringene brukes. Alle tidligere innsamlede data beholdes.
Spørringssamlede rapporter
Aggregert rapportering støtter følgende hendelsestyper:
| Handlingstype | Avansert jaktbord | Presentasjon av enhetstidslinje | Egenskaper |
|---|---|---|---|
| FileCreatedAggregatedReport | DeviceFileEvents | {ProcessName} opprettet {Occurrences} {FilePath}-filer | 1. Filbane 2. Filtype 3. Prosessnavn |
| FileRenamedAggregatedReport | DeviceFileEvents | {ProcessName} har fått nytt navn til {Occurrences} {FilePath}-filer | 1. Filbane 2. Filtype 3. Prosessnavn |
| FileModifiedAggregatedReport | DeviceFileEvents | {ProcessName} endret {Occurrences} {FilePath}-filer | 1. Filbane 2. Filtype 3. Prosessnavn |
| ProcessCreatedAggregatedReport | DeviceProcessEvents | {InitiatingProcessName} opprettet {Occurrences} {ProcessName}-prosesser | 1. Starter prosesskommandolinje 2. Starter prosessen SHA1 3. Starter prosessfilbane 4. Prosesskommandolinje 5. Prosess SHA1 6. Mappebane |
| ConnectionSuccessAggregatedReport | DeviceNetworkEvents | {InitiatingProcessName} etablerte {Occurrences}-tilkoblinger med {RemoteIP}:{RemotePort} | 1. Starter prosessnavn 2. Kilde-IP 3. Ekstern IP 4. Ekstern port |
| ConnectionFailedAggregatedReport | DeviceNetworkEvents | {InitiatingProcessName} kan ikke opprette {Occurrences}-tilkoblinger med {RemoteIP:RemotePort} | 1. Starter prosessnavn 2. Kilde-IP 3. Ekstern IP 4. Ekstern port |
| LogonSuccessAggregatedReport | DeviceLogonEvents | {Occurrences} {LogonType}-pålogginger av {UserName}\{DomainName} | 1. Målbrukernavn 2. Målbruker-SID 3. Måldomenenavn 4. Påloggingstype |
| LogonFailedAggregatedReport | DeviceLogonEvents | {Occurrences}{LogonType}-pålogginger mislyktes av {UserName}\{DomainName} | 1. Målbrukernavn 2. Målbruker-SID 3. Måldomenenavn 4. Påloggingstype |
Obs!
Hvis du slår på aggregert rapportering, blir signalsynligheten bedre, noe som kan medføre høyere lagringskostnader hvis du strømmer Defender for avanserte jakttabeller for endepunkt til SIEM- eller lagringsløsningene.
Slik spør du nye data med aggregerte rapporter:
- Gå til Undersøkelse & svar > , regler for > søk etter egendefinert gjenkjenning.
- Se gjennom og endre eksisterende regler og spørringer som kan bli påvirket av aggregert rapportering.
- Når det er nødvendig, kan du opprette nye egendefinerte regler for å innlemme nye handlingstyper.
- Gå til Avansert jakt-siden , og spør etter de nye dataene.
Her er et eksempel på avanserte spørringsresultater for jakt med aggregerte rapporter.
Eksempel på avanserte jaktspørringer
Du kan bruke følgende KQL-spørringer til å samle inn spesifikk informasjon ved hjelp av aggregert rapportering.
Spørring etter støyende prosessaktivitet
Følgende spørring uthever støyende prosessaktivitet, som kan koordineres med ondsinnede signaler.
DeviceProcessEvents
| where Timestamp > ago(1h)
| where ActionType == "ProcessCreatedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| project-reorder Timestamp, uniqueEventsAggregated, ProcessCommandLine, InitiatingProcessCommandLine, ActionType, SHA1, FolderPath, InitiatingProcessFolderPath, DeviceName
| sort by uniqueEventsAggregated desc
Spørring for gjentatte påloggingsforsøksfeil
Følgende spørring identifiserer gjentatte påloggingsforsøk.
DeviceLogonEvents
| where Timestamp > ago(30d)
| where ActionType == "LogonFailedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder Timestamp, DeviceId, uniqueEventsAggregated, LogonType, AccountName, AccountDomain, AccountSid
| sort by uniqueEventsAggregated desc
Spørring etter mistenkelige RDP-tilkoblinger
Følgende spørring identifiserer mistenkelige RDP-tilkoblinger, som kan indikere ondsinnet aktivitet.
DeviceNetworkEvents
| where Timestamp > ago(1d)
| where ActionType endswith "AggregatedReport"
| where RemotePort == "3389"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder ActionType, Timestamp, uniqueEventsAggregated
| sort by uniqueEventsAggregated desc