Megosztás a következőn keresztül:

Összesített jelentéskészítés a Végponthoz készült Microsoft Defender

  • Cikk
  • A következőre érvényes::
    Microsoft Defender for Endpoint Plan 2

Az összesített jelentéskészítés a Végponthoz készült Microsoft Defender eseményjelentésére vonatkozó korlátozásokat kezeli. Az összesített jelentéskészítés kiterjeszti a jeljelentési időközöket a jelentett események méretének jelentős csökkentése érdekében, miközben megőrzi az alapvető eseménytulajdonságokat.

A Végponthoz készült Defender csökkenti a gyűjtött adatok zaját, hogy javítsa a jel-zaj arányt, miközben kiegyensúlyozza a termék teljesítményét és hatékonyságát. Korlátozza az adatgyűjtést, hogy fenntartsa ezt az egyensúlyt.

Az összesített jelentéskészítéssel a Végponthoz készült Defender biztosítja, hogy a vizsgálati és veszélyforrás-keresési tevékenységek szempontjából értékes összes lényeges eseménytulajdonság folyamatosan gyűjtve legyen. Ezt egyórás jelentési időközökkel teszi meg, ami csökkenti a jelentett események méretét, és hatékony, mégis értékes adatgyűjtést tesz lehetővé.

Ha az összesített jelentéskészítés be van kapcsolva, lekérdezheti az összes támogatott eseménytípus összegzését, beleértve az alacsony hatékonyságú telemetriát is, amelyet vizsgálati és vadászati tevékenységekhez használhat.

Előfeltételek

Az összesített jelentéskészítés bekapcsolása előtt a következő követelményeknek kell teljesülniük:

  • Végponthoz készült Defender 2. csomag licence
  • Speciális funkciók engedélyezésére vonatkozó engedélyek

Az összesített jelentéskészítés a következőket támogatja:

  • Ügyfélverzió: Windows 2411-es és újabb verziók
  • Operációs rendszerek: Windows 11 22H2, Windows 11 Nagyvállalati verzió, Windows 10 20H2, 21H1, 21H2, Windows Server 2025, Windows Server 2022, Windows Server 2019 vagy Windows Server 20H2-es verzió

Az összesített jelentéskészítés bekapcsolása

Az összesített jelentéskészítés bekapcsolásához lépjen a Beállítások > Végpontok > Speciális funkciók területre. Kapcsolja be az Összesített jelentéskészítés funkciót.

Képernyőkép az összesített jelentéskészítési kapcsolóról a Microsoft Defender portál beállítások lapján.

Az összesített jelentések bekapcsolása után akár hét napig is eltarthat, hogy az összesített jelentések elérhetővé váljanak. Ezután a funkció bekapcsolása után megkezdheti az új adatok lekérdezését.

Ha kikapcsolja az összesített jelentéskészítést, a módosítások alkalmazása néhány órát vesz igénybe. Az összes korábban gyűjtött adat megmarad.

Összesített jelentések lekérdezése

Az összesített jelentéskészítés a következő eseménytípusokat támogatja:

Művelet típusa Speciális veszélyforrás-keresési tábla Eszköz ütemtervének bemutatója Tulajdonságok
FileCreatedAggregatedReport DeviceFileEvents {ProcessName} {Occurrences} {FilePath} fájlt hozott létre 1. Fájl elérési útja
2. Fájlkiterjesztés
3. Folyamat neve
FileRenamedAggregatedReport DeviceFileEvents A(z) {ProcessName} átnevezte a(z) {Occurrences} {FilePath} fájlokat 1. Fájl elérési útja
2. Fájlkiterjesztés
3. Folyamat neve
FileModifiedAggregatedReport DeviceFileEvents {ProcessName} módosított {Occurrences} {FilePath} fájlt 1. Fájl elérési útja
2. Fájlkiterjesztés
3. Folyamat neve
ProcessCreatedAggregatedReport DeviceProcessEvents {InitiatingProcessName} létrehozott {Occurrences} {ProcessName} folyamatokat 1. Folyamat kezdeményezése parancssor
2. Az SHA1
3 folyamat kezdeményezése. Folyamatfájl 4. elérési útjának
kezdeményezése. Folyamat parancssor
5. Folyamat SHA1
6. Mappa elérési útja
ConnectionSuccessAggregatedReport DeviceNetworkEvents {InitiatingProcessName} {Occurrences} kapcsolatot létesített a következővel: {RemoteIP}:{RemotePort} 1. Folyamatnév
kezdeményezése 2. Forrás IP-címe
3. Távoli IP
4. Távoli port
ConnectionFailedAggregatedReport DeviceNetworkEvents A(z) {InitiatingProcessName} nem tudott {Occurrences} kapcsolatot létesíteni a következővel: {RemoteIP:RemotePort} 1. Folyamatnév
kezdeményezése 2. Forrás IP-címe
3. Távoli IP
4. Távoli port
LogonSuccessAggregatedReport DeviceLogonEvents {Occurrences} {LogonType} bejelentkezések a következő szerint: {UserName}\{DomainName} 1. Cél felhasználónév
2. Célfelhasználó SID
3. Céltartomány neve
4. Bejelentkezés típusa
LogonFailedAggregatedReport DeviceLogonEvents {Occurrences}A(z) {UserName}\{DomainName} nem tudott bejelentkezni a(z) {LogonType} szolgáltatásba 1. Cél felhasználónév
2. Célfelhasználó SID
3. Céltartomány neve
4. Bejelentkezés típusa

Megjegyzés:

Az összesített jelentéskészítés bekapcsolása javítja a jel láthatóságát, ami magasabb tárolási költségekkel járhat, ha a Végponthoz készült Defender speciális veszélyforrás-keresési tábláit streameli az SIEM- vagy tárolási megoldásokba.

Új adatok lekérdezése összesített jelentésekkel:

  1. Lépjen a Vizsgálat & válaszkeresés >> egyéni észlelési szabályaihoz.
  2. Tekintse át és módosítsa az összesített jelentéskészítés által esetlegesen érintett meglévő szabályokat és lekérdezéseket .
  3. Szükség esetén hozzon létre új egyéni szabályokat az új művelettípusok beépítéséhez.
  4. Lépjen a Speciális veszélyforrás-keresés oldalra, és kérdezze le az új adatokat.

Íme egy példa a speciális keresési lekérdezési eredményekre összesített jelentésekkel.

A speciális veszélyforrás-keresési lekérdezések eredményeinek képernyőképe összesített jelentésekkel.

Speciális keresési lekérdezések mintája

A következő KQL-lekérdezések használatával gyűjthet konkrét információkat összesített jelentéskészítéssel.

Zajos folyamattevékenység lekérdezése

Az alábbi lekérdezés kiemeli a zajos folyamattevékenységet, amely a kártékony jelekkel korrelálható.

DeviceProcessEvents
| where Timestamp > ago(1h)
| where ActionType == "ProcessCreatedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| project-reorder Timestamp, uniqueEventsAggregated, ProcessCommandLine, InitiatingProcessCommandLine, ActionType, SHA1, FolderPath, InitiatingProcessFolderPath, DeviceName
| sort by uniqueEventsAggregated desc

Ismételt bejelentkezési kísérlet hibáinak lekérdezése

A következő lekérdezés azonosítja az ismétlődő bejelentkezési kísérletek hibáit.

DeviceLogonEvents
| where Timestamp > ago(30d)
| where ActionType == "LogonFailedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder Timestamp, DeviceId, uniqueEventsAggregated, LogonType, AccountName, AccountDomain, AccountSid
| sort by uniqueEventsAggregated desc

Gyanús RDP-kapcsolatok lekérdezése

Az alábbi lekérdezés azonosítja a gyanús RDP-kapcsolatokat, amelyek rosszindulatú tevékenységet jelezhetnek.

DeviceNetworkEvents
| where Timestamp > ago(1d)
| where ActionType endswith "AggregatedReport"
| where RemotePort == "3389"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder ActionType, Timestamp, uniqueEventsAggregated 
| sort by uniqueEventsAggregated desc