Sammanställd rapportering i Microsoft Defender för Endpoint
Aggregerad rapportering åtgärdar begränsningar för händelserapportering i Microsoft Defender för Endpoint. Aggregerad rapportering utökar intervallen för signalrapportering för att avsevärt minska storleken på rapporterade händelser samtidigt som viktiga händelseegenskaper bevaras.
Defender för Endpoint minskar bruset i insamlade data för att förbättra signal-till-brus-förhållandet samtidigt som produktens prestanda och effektivitet balanseras. Den begränsar datainsamlingen för att upprätthålla den här balansen.
Med aggregerad rapportering säkerställer Defender för Endpoint att alla viktiga händelseegenskaper som är värdefulla för undersöknings- och hotjaktaktiviteter samlas in kontinuerligt. Detta sker genom utökade rapporteringsintervall på en timme, vilket minskar storleken på rapporterade händelser och möjliggör effektiv men värdefull datainsamling.
När aggregerad rapportering är aktiverad kan du fråga efter en sammanfattning av alla händelsetyper som stöds, inklusive telemetri med låg effekt, som du kan använda för undersöknings- och jaktaktiviteter.
Förhandskrav
Följande krav måste uppfyllas innan du aktiverar aggregerad rapportering:
- Licens för Defender för Endpoint Plan 2
- Behörigheter för att aktivera avancerade funktioner
Aggregerad rapportering stöder följande:
- Klientversion: Windows version 2411 och senare
- Operativsystem: Windows 11 22H2, Windows 11 Enterprise, Windows 10 20H2, 21H1, 21H2, Windows Server 2025, Windows Server 2022, Windows Server 2019 eller Windows Server version 20H2
Aktivera aggregerad rapportering
Om du vill aktivera aggregerad rapportering går du till Inställningar > Slutpunkter > Avancerade funktioner. Växla till funktionen Sammanställd rapportering .
När aggregerad rapportering har aktiverats kan det ta upp till sju dagar innan aggregerade rapporter blir tillgängliga. Du kan sedan börja fråga efter nya data när funktionen har aktiverats.
När du inaktiverar aggregerad rapportering tar det några timmar innan ändringarna tillämpas. Alla tidigare insamlade data finns kvar.
Fråga aggregerade rapporter
Aggregerad rapportering stöder följande händelsetyper:
| Åtgärdstyp | Avancerad jakttabell | Presentation av enhetens tidslinje | Egenskaper |
|---|---|---|---|
| FileCreatedAggregatedReport | DeviceFileEvents | {ProcessName} skapade {Occurrences} {FilePath}-filer | 1. Filsökväg 2. Filnamnstillägg 3. Processnamn |
| FileRenamedAggregatedReport | DeviceFileEvents | {ProcessName} har bytt namn på {Occurrences} {FilePath}-filer | 1. Filsökväg 2. Filnamnstillägg 3. Processnamn |
| FileModifiedAggregatedReport | DeviceFileEvents | {ProcessName} ändrade {Occurrences} {FilePath}-filer | 1. Filsökväg 2. Filnamnstillägg 3. Processnamn |
| ProcessCreatedAggregatedReport | DeviceProcessEvents | {InitiatingProcessName} skapade {Occurrences} {ProcessName}-processer | 1. Initierar processkommandorad 2. Initierar processen SHA1 3. Initierar sökvägen till processfilen 4. Bearbeta kommandorad 5. Process SHA1 6. Mappsökväg |
| ConnectionSuccessAggregatedReport | DeviceNetworkEvents | {InitieraProcessName} upprättade {Occurrences}-anslutningar med {RemoteIP}:{RemotePort} | 1. Initiera processnamn 2. Käll-IP 3. Fjärr-IP 4. Fjärrport |
| ConnectionFailedAggregatedReport | DeviceNetworkEvents | {InitiatingProcessName} kunde inte upprätta {Occurrences}-anslutningar med {RemoteIP:RemotePort} | 1. Initiera processnamn 2. Käll-IP 3. Fjärr-IP 4. Fjärrport |
| LogonSuccessAggregatedReport | DeviceLogonEvents | {Förekomster} {LogonType} inloggningar av {UserName}\{DomainName} | 1. Målanvändarnamn 2. Målanvändare sid 3. Måldomännamn 4. Inloggningstyp |
| LogonFailedAggregatedReport | DeviceLogonEvents | {Förekomster}{LogonType} inloggningar misslyckades av {UserName}\{DomainName} | 1. Målanvändarnamn 2. Målanvändare sid 3. Måldomännamn 4. Inloggningstyp |
Obs!
Om du aktiverar aggregerad rapportering förbättras signalsynligheten, vilket kan medföra högre lagringskostnader om du strömmar avancerade jakttabeller för Defender för Endpoint till dina SIEM- eller lagringslösningar.
Så här kör du frågor mot nya data med aggregerade rapporter:
- Gå till Undersökning & svar > Jakt > anpassade identifieringsregler.
- Granska och ändra befintliga regler och frågor som kan påverkas av aggregerad rapportering.
- Skapa vid behov nya anpassade regler för att införliva nya åtgärdstyper.
- Gå till sidan Avancerad jakt och fråga efter nya data.
Här är ett exempel på avancerade jaktfrågeresultat med aggregerade rapporter.
Exempel på avancerade jaktfrågor
Du kan använda följande KQL-frågor för att samla in specifik information med aggregerad rapportering.
Fråga efter processaktivitet med brus
Följande fråga belyser aktivitet i bullriga processer, som kan korreleras med skadliga signaler.
DeviceProcessEvents
| where Timestamp > ago(1h)
| where ActionType == "ProcessCreatedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| project-reorder Timestamp, uniqueEventsAggregated, ProcessCommandLine, InitiatingProcessCommandLine, ActionType, SHA1, FolderPath, InitiatingProcessFolderPath, DeviceName
| sort by uniqueEventsAggregated desc
Fråga efter upprepade fel vid inloggningsförsök
Följande fråga identifierar upprepade fel vid inloggningsförsök.
DeviceLogonEvents
| where Timestamp > ago(30d)
| where ActionType == "LogonFailedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder Timestamp, DeviceId, uniqueEventsAggregated, LogonType, AccountName, AccountDomain, AccountSid
| sort by uniqueEventsAggregated desc
Fråga efter misstänkta RDP-anslutningar
Följande fråga identifierar misstänkta RDP-anslutningar, vilket kan tyda på skadlig aktivitet.
DeviceNetworkEvents
| where Timestamp > ago(1d)
| where ActionType endswith "AggregatedReport"
| where RemotePort == "3389"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder ActionType, Timestamp, uniqueEventsAggregated
| sort by uniqueEventsAggregated desc