مشاركة عبر

إعداد التقارير المجمعة في Microsoft Defender لنقطة النهاية

  • مقالة
  • ينطبق على:
    Microsoft Defender for Endpoint Plan 2

تتناول التقارير المجمعة القيود المفروضة على إعداد تقارير الأحداث في Microsoft Defender لنقطة النهاية. يعمل إعداد التقارير المجمعة على توسيع فواصل الإبلاغ عن الإشارات لتقليل حجم الأحداث التي تم الإبلاغ عنها بشكل كبير مع الحفاظ على خصائص الحدث الأساسية.

يقلل Defender لنقطة النهاية من الضوضاء في البيانات المجمعة لتحسين نسبة الإشارة إلى الضوضاء مع موازنة أداء المنتج وكفاءته. يحد من جمع البيانات للحفاظ على هذا التوازن.

مع إعداد التقارير المجمعة، يضمن Defender لنقطة النهاية جمع جميع خصائص الأحداث الأساسية ذات القيمة لأنشطة التحقيق وتعقب التهديدات باستمرار. يقوم بذلك عن طريق فترات إعداد التقارير الممتدة لمدة ساعة واحدة، ما يقلل من حجم الأحداث المبلغ عنها ويمكن جمع البيانات بكفاءة ولكنها قيمة.

عند تشغيل التقارير المجمعة، يمكنك الاستعلام عن ملخص لجميع أنواع الأحداث المدعومة، بما في ذلك بيانات تتبع الاستخدام منخفضة الكفاءة، والتي يمكنك استخدامها لأنشطة التحقيق والتتبع.

المتطلبات الأساسية

يجب استيفاء المتطلبات التالية قبل تشغيل التقارير المجمعة:

  • ترخيص Defender لنقطة النهاية الخطة 2
  • أذونات لتمكين الميزات المتقدمة

يدعم إعداد التقارير المجمعة ما يلي:

  • إصدار العميل: الإصدار 2411 من Windows والإصدارات الأحدث
  • أنظمة التشغيل: Windows 11 22H2 أو Windows 11 Enterprise أو Windows 10 20H2 أو 21H1 أو 21H2 أو Windows Server 2025 أو Windows Server 2022 أو Windows Server 2019 أو Windows Server الإصدار 20H2

تشغيل إعداد التقارير المجمعة

لتشغيل إعداد التقارير المجمعة، انتقل إلى الإعدادات > نقاط > النهاية الميزات المتقدمة. التبديل إلى ميزة التقارير المجمعة .

لقطة شاشة لتبديل التقارير المجمعة في صفحة إعدادات مدخل Microsoft Defender.

بمجرد تشغيل التقارير المجمعة، قد يستغرق الأمر ما يصل إلى سبعة أيام حتى تصبح التقارير المجمعة متاحة. يمكنك بعد ذلك البدء في الاستعلام عن بيانات جديدة بعد تشغيل الميزة.

عند إيقاف تشغيل التقارير المجمعة، تستغرق التغييرات بضع ساعات ليتم تطبيقها. تبقى جميع البيانات التي تم جمعها مسبقا.

الاستعلام عن التقارير المجمعة

تدعم التقارير المجمعة أنواع الأحداث التالية:

نوع الإجراء جدول تتبع متقدم عرض تقديمي للجدول الزمني للجهاز الخصائص
FileCreatedAggregatedReport DeviceFileEvents قام {ProcessName} بإنشاء {التكرارات} {FilePath} من الملفات 1. مسار
الملف 2. ملحق
الملف 3. اسم العملية
FileRenamedAggregatedReport DeviceFileEvents تمت إعادة تسمية {ProcessName} {Occurrences} {FilePath} من الملفات 1. مسار
الملف 2. ملحق
الملف 3. اسم العملية
FileModifiedAggregatedReport DeviceFileEvents تم تعديل {ProcessName} {Occurrences} {FilePath} من الملفات 1. مسار
الملف 2. ملحق
الملف 3. اسم العملية
ProcessCreatedAggregatedReport DeviceProcessEvents قام {InitiatingProcessName} بإنشاء {Occurrences} {ProcessName} من العمليات 1. بدء سطر
أوامر العملية 2. بدء العملية SHA1
3. بدء مسار
ملف العملية 4. سطر
أوامر العملية 5. معالجة SHA1
6. مسار المجلد
ConnectionSuccessAggregatedReport DeviceNetworkEvents أنشأ {InitiatingProcessName} اتصالات {Occurrences} مع {RemoteIP}:{RemotePort} 1. بدء اسم
العملية 2. مصدر IP
3. IP
4 عن بعد. منفذ بعيد
ConnectionFailedAggregatedReport DeviceNetworkEvents فشل {InitiatingProcessName} في إنشاء اتصالات {Occurrences} مع {RemoteIP:RemotePort} 1. بدء اسم
العملية 2. مصدر IP
3. IP
4 عن بعد. منفذ بعيد
تسجيل الدخولSuccessAggregatedReport DeviceLogonEvents {التكرارات} {LogonType} تسجيلات الدخول بواسطة {UserName}\{DomainName} 1. اسم المستخدم
الهدف 2. معرف الأمان
3 للمستخدم المستهدف. اسم
المجال الهدف 4. نوع تسجيل الدخول
تسجيل الدخولFailedAggregatedReport DeviceLogonEvents {التكرارات}فشل {LogonType} عمليات تسجيل الدخول بواسطة {UserName}\{DomainName} 1. اسم المستخدم
الهدف 2. معرف الأمان
3 للمستخدم المستهدف. اسم
المجال الهدف 4. نوع تسجيل الدخول

ملاحظة

يؤدي تشغيل التقارير المجمعة إلى تحسين رؤية الإشارة، ما قد يؤدي إلى تكاليف تخزين أعلى إذا كنت تقوم ببث جداول التتبع المتقدمة ل Defender لنقطة النهاية إلى SIEM أو حلول التخزين.

للاستعلام عن بيانات جديدة باستخدام تقارير مجمعة:

  1. انتقل إلى التحقيق & استجابة >> تتبع قواعد الكشف المخصصة.
  2. مراجعة وتعديل القواعد والاستعلامات الموجودة التي قد تتأثر بالتقارير المجمعة.
  3. عند الضرورة، قم بإنشاء قواعد مخصصة جديدة لدمج أنواع الإجراءات الجديدة.
  4. انتقل إلى صفحة التتبع المتقدم واستعلم عن البيانات الجديدة.

فيما يلي مثال على نتائج استعلام التتبع المتقدمة مع التقارير المجمعة.

لقطة شاشة لنتائج استعلام التتبع المتقدمة مع تقارير مجمعة.

عينة استعلامات تتبع متقدمة

يمكنك استخدام استعلامات KQL التالية لجمع معلومات محددة باستخدام التقارير المجمعة.

الاستعلام عن نشاط العملية الصاخبة

يسلط الاستعلام التالي الضوء على نشاط العملية الصاخبة، والتي يمكن ربطها بالإشارات الضارة.

DeviceProcessEvents
| where Timestamp > ago(1h)
| where ActionType == "ProcessCreatedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| project-reorder Timestamp, uniqueEventsAggregated, ProcessCommandLine, InitiatingProcessCommandLine, ActionType, SHA1, FolderPath, InitiatingProcessFolderPath, DeviceName
| sort by uniqueEventsAggregated desc

الاستعلام عن حالات فشل محاولة تسجيل الدخول المتكررة

يحدد الاستعلام التالي حالات فشل محاولة تسجيل الدخول المتكررة.

DeviceLogonEvents
| where Timestamp > ago(30d)
| where ActionType == "LogonFailedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder Timestamp, DeviceId, uniqueEventsAggregated, LogonType, AccountName, AccountDomain, AccountSid
| sort by uniqueEventsAggregated desc

الاستعلام عن اتصالات RDP المشبوهة

يحدد الاستعلام التالي اتصالات RDP المشبوهة، والتي قد تشير إلى نشاط ضار.

DeviceNetworkEvents
| where Timestamp > ago(1d)
| where ActionType endswith "AggregatedReport"
| where RemotePort == "3389"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder ActionType, Timestamp, uniqueEventsAggregated 
| sort by uniqueEventsAggregated desc