Relatórios agregados no Microsoft Defender para Endpoint
Os relatórios agregados abordam as restrições dos relatórios de eventos no Microsoft Defender para Endpoint. Os relatórios agregados expandem os intervalos de relatórios de sinal para reduzir significativamente o tamanho dos eventos comunicados, preservando as propriedades essenciais do evento.
O Defender para Endpoint reduz o ruído nos dados recolhidos para melhorar a proporção sinal/ruído, equilibrando o desempenho e a eficiência do produto. Limita a recolha de dados para manter este equilíbrio.
Com os relatórios agregados, o Defender para Endpoint garante que todas as propriedades essenciais de eventos importantes para atividades de investigação e investigação de ameaças são continuamente recolhidas. Fá-lo através de intervalos de relatórios alargados de uma hora, o que reduz o tamanho dos eventos reportados e permite uma recolha de dados eficiente, mas valiosa.
Quando os relatórios agregados estão ativados, pode consultar um resumo de todos os tipos de eventos suportados, incluindo telemetria de baixa eficácia, que pode utilizar para atividades de investigação e investigação.
Pré-requisitos
Os seguintes requisitos têm de ser cumpridos antes de ativar os relatórios agregados:
- Licença do Plano 2 do Defender para Endpoint
- Permissões para ativar funcionalidades avançadas
Os relatórios agregados suportam o seguinte:
- Versão do cliente: Windows versão 2411 e posterior
- Sistemas operativos: Windows 11 22H2, Windows 11 Enterprise, Windows 10 20H2, 21H1, 21H2, Windows Server 2025, Windows Server 2022, Windows Server 2019 ou Windows Server versão 20H2
Ativar relatórios agregados
Para ativar os relatórios agregados, aceda a Definições > Pontos Finais Funcionalidades avançadas>. Ativar/desativar a funcionalidade Relatórios agregados .
Assim que os relatórios agregados estiverem ativados, pode demorar até sete dias para que os relatórios agregados fiquem disponíveis. Em seguida, pode começar a consultar novos dados depois de a funcionalidade estar ativada.
Quando desativar os relatórios agregados, as alterações demoram algumas horas a serem aplicadas. Todos os dados recolhidos anteriormente permanecem.
Consultar relatórios agregados
Os relatórios agregados suportam os seguintes tipos de eventos:
| Tipo de ação | Tabela de investigação avançada | Apresentação da linha cronológica do dispositivo | Propriedades |
|---|---|---|---|
| FileCreatedAggregatedReport | DeviceFileEvents | {ProcessName} criou {Occurrences} ficheiros {FilePath} | 1. Caminho do ficheiro 2. Extensão de ficheiro 3. Nome do processo |
| FileRenamedAggregatedReport | DeviceFileEvents | {ProcessName} nomeou {Occurrences} ficheiros {FilePath} | 1. Caminho do ficheiro 2. Extensão de ficheiro 3. Nome do processo |
| FileModifiedAggregatedReport | DeviceFileEvents | {ProcessName} modificou {Occurrences} ficheiros {FilePath} | 1. Caminho do ficheiro 2. Extensão de ficheiro 3. Nome do processo |
| ProcessCreatedAggregatedReport | DeviceProcessEvents | {InitiatingProcessName} criou {Occurrences} {ProcessName} processos | 1. A iniciar a linha de comandos do processo 2. A iniciar o processo SHA1 3. A iniciar o caminho do ficheiro de processo 4. Processe a linha de comandos 5. Processar SHA1 6. Caminho da pasta |
| ConnectionSuccessAggregatedReport | DeviceNetworkEvents | {InitiatingProcessName} estabeleceu ligações {Occurrences} com {RemoteIP}:{RemotePort} | 1. A iniciar o nome do processo 2. IP de origem 3. IP Remoto 4. Porta remota |
| ConnectionFailedAggregatedReport | DeviceNetworkEvents | O {InitiatingProcessName} não conseguiu estabelecer ligações {Occurrences} com {RemoteIP:RemotePort} | 1. A iniciar o nome do processo 2. IP de origem 3. IP Remoto 4. Porta remota |
| LogonSuccessAggregatedReport | DeviceLogonEvents | {Occurrences} {LogonType} inícios de sessão por {UserName}\{DomainName} | 1. Nome de utilizador de destino 2. SID 3 do utilizador de destino. Nome de domínio de destino 4. Tipo de início de sessão |
| LogonFailedAggregatedReport | DeviceLogonEvents | {Occurrences}Os inícios de sessão {LogonType} falharam por {UserName}\{DomainName} | 1. Nome de utilizador de destino 2. SID 3 do utilizador de destino. Nome de domínio de destino 4. Tipo de início de sessão |
Nota
Ativar os relatórios agregados melhora a visibilidade do sinal, o que poderá incorrer em custos de armazenamento mais elevados se estiver a transmitir tabelas de investigação avançadas do Defender para Ponto Final para as suas soluções siEM ou de armazenamento.
Para consultar novos dados com relatórios agregados:
- Aceda a Investigação & resposta > a Regras de deteção personalizadas de investigação>.
- Reveja e modifique as regras e consultas existentes que podem ser afetadas por relatórios agregados.
- Quando necessário, crie novas regras personalizadas para incorporar novos tipos de ações.
- Aceda à página Investigação Avançada e consulte os novos dados.
Eis um exemplo de resultados avançados da consulta de investigação com relatórios agregados.
Consultas de investigação avançadas de exemplo
Pode utilizar as seguintes consultas KQL para recolher informações específicas através de relatórios agregados.
Consulta para atividade de processo ruidoso
A consulta seguinte realça a atividade de processo ruidoso, que pode ser correlacionada com sinais maliciosos.
DeviceProcessEvents
| where Timestamp > ago(1h)
| where ActionType == "ProcessCreatedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| project-reorder Timestamp, uniqueEventsAggregated, ProcessCommandLine, InitiatingProcessCommandLine, ActionType, SHA1, FolderPath, InitiatingProcessFolderPath, DeviceName
| sort by uniqueEventsAggregated desc
Consultar falhas de tentativas de início de sessão repetidas
A consulta seguinte identifica falhas repetidas na tentativa de início de sessão.
DeviceLogonEvents
| where Timestamp > ago(30d)
| where ActionType == "LogonFailedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder Timestamp, DeviceId, uniqueEventsAggregated, LogonType, AccountName, AccountDomain, AccountSid
| sort by uniqueEventsAggregated desc
Consultar ligações RDP suspeitas
A consulta seguinte identifica ligações RDP suspeitas, o que pode indicar atividade maliciosa.
DeviceNetworkEvents
| where Timestamp > ago(1d)
| where ActionType endswith "AggregatedReport"
| where RemotePort == "3389"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder ActionType, Timestamp, uniqueEventsAggregated
| sort by uniqueEventsAggregated desc