Поделиться через

Агрегированные отчеты в Microsoft Defender для конечной точки

  • Статья
  • Применяется к:
    Microsoft Defender for Endpoint Plan 2

Агрегированная отчетность устраняет ограничения на отчеты о событиях в Microsoft Defender для конечной точки. Агрегированные отчеты расширяют интервалы отчетности по сигналу, что позволяет значительно уменьшить размер сообщаемых событий, сохраняя при этом основные свойства событий.

Defender для конечной точки снижает уровень шума в собираемых данных, чтобы улучшить соотношение сигналов и шума при балансировке производительности и эффективности продукта. Он ограничивает сбор данных для поддержания этого баланса.

С помощью агрегированных отчетов Defender для конечной точки гарантирует, что все важные свойства событий, ценные для исследований и действий по охоте на угрозы, будут постоянно собираться. Это делается путем расширения интервалов отчетности в один час, что сокращает размер сообщаемых событий и обеспечивает эффективный, но ценный сбор данных.

Если агрегированные отчеты включены, можно запросить сводку по всем поддерживаемым типам событий, включая данные телеметрии с низкой эффективностью, которые можно использовать для исследования и охоты.

Предварительные условия

Перед включением агрегированных отчетов необходимо выполнить следующие требования:

  • Лицензия Defender для конечной точки плана 2
  • Разрешения для включения дополнительных функций

Агрегированные отчеты поддерживают следующее:

  • Версия клиента: Windows версии 2411 и более поздних
  • Операционные системы: Windows 11 22H2, Windows 11 Корпоративная, Windows 10 20H2, 21H1, 21H2, Windows Server 2025, Windows Server 2022, Windows Server 2019 или Windows Server версия 20H2

Включение агрегированных отчетов

Чтобы включить агрегированные отчеты, перейдите в раздел Параметры > Конечные > точки Дополнительные функции. Переключение функции агрегированных отчетов .

Снимок экрана: переключатель агрегированных отчетов на странице параметров портала Microsoft Defender.

После включения агрегированных отчетов может потребоваться до семи дней, чтобы агрегированные отчеты стали доступными. После включения функции можно начать запрашивать новые данные.

При отключении агрегированных отчетов применение изменений занимает несколько часов. Все ранее собранные данные остаются.

Запрос агрегированных отчетов

Агрегированные отчеты поддерживают следующие типы событий:

Тип действия Расширенная таблица охоты Презентация временная шкала устройства Свойства
FileCreatedAggregatedReport DeviceFileEvents {ProcessName} создал файлы {Occurrences} {FilePath} 1. Путь к файлу
2. Расширение
файла 3. Имя процесса
FileRenamedAggregatedReport DeviceFileEvents {ProcessName} переименованы {Occurrences} {FilePath} файлы 1. Путь к файлу
2. Расширение
файла 3. Имя процесса
FileModifiedAggregatedReport DeviceFileEvents Измененные файлы {ProcessName} {Occurrences} {FilePath} 1. Путь к файлу
2. Расширение
файла 3. Имя процесса
ProcessCreatedAggregatedReport DeviceProcessEvents {InitiatingProcessName} создал процессы {Occurrences} {ProcessName} 1. Запуск процесса в командной строке
2. Инициализация процесса SHA1
3. Путь к
файлу процесса 4. Обработать командную строку
5. Процесс SHA1
6. Путь к папке
ConnectionSuccessAggregatedReport DeviceNetworkEvents {InitiatingProcessName} установил подключения {Occurrences} с {RemoteIP}:{RemotePort} 1. Инициализация имени
процесса 2. Исходный IP-адрес
3. Удаленный IP-адрес
4. Удаленный порт.
ConnectionFailedAggregatedReport DeviceNetworkEvents {InitiatingProcessName} не удалось установить подключения {Occurrences} с {RemoteIP:RemotePort} 1. Инициализация имени
процесса 2. Исходный IP-адрес
3. Удаленный IP-адрес
4. Удаленный порт.
LogonSuccessAggregatedReport DeviceLogonEvents {Экземпляры} Входы {LogonType} от {UserName}\{DomainName} 1. Целевое имя пользователя
2. Идентификатор безопасности
целевого пользователя 3. Целевое доменное имя
4. Тип входа
LogonFailedAggregatedReport DeviceLogonEvents {Экземпляры}Сбой входа {Имя_пользователя}\{Имя_домена} 1. Целевое имя пользователя
2. Идентификатор безопасности
целевого пользователя 3. Целевое доменное имя
4. Тип входа

Примечание.

Включение агрегированных отчетов улучшает видимость сигнала, что может привести к более высоким затратам на хранение, если вы выполняете потоковую передачу таблиц расширенной охоты Defender для конечной точки в SIEM или решениях хранилища.

Чтобы запросить новые данные с помощью агрегированных отчетов, выполните приведенные далее действия.

  1. Перейдите в раздел Исследование & ответ > Охота > на настраиваемые правила обнаружения.
  2. Просмотрите и измените существующие правила и запросы , на которые могут повлиять агрегированные отчеты.
  3. При необходимости создайте новые настраиваемые правила для включения новых типов действий.
  4. Перейдите на страницу Расширенная охота и запросите новые данные.

Ниже приведен пример результатов расширенного запроса охоты с агрегированными отчетами.

Снимок экрана: результаты расширенного запроса охоты с агрегированными отчетами.

Примеры запросов расширенной охоты

Для сбора определенных сведений с помощью агрегированных отчетов можно использовать следующие запросы KQL.

Запрос на шумное действие процесса

В следующем запросе выделены шумные действия процесса, которые можно сопоставить с вредоносными сигналами.

DeviceProcessEvents
| where Timestamp > ago(1h)
| where ActionType == "ProcessCreatedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| project-reorder Timestamp, uniqueEventsAggregated, ProcessCommandLine, InitiatingProcessCommandLine, ActionType, SHA1, FolderPath, InitiatingProcessFolderPath, DeviceName
| sort by uniqueEventsAggregated desc

Запрос на сбои повторных попыток входа

Следующий запрос определяет сбои повторных попыток входа.

DeviceLogonEvents
| where Timestamp > ago(30d)
| where ActionType == "LogonFailedAggregatedReport"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder Timestamp, DeviceId, uniqueEventsAggregated, LogonType, AccountName, AccountDomain, AccountSid
| sort by uniqueEventsAggregated desc

Запрос подозрительных подключений RDP

Следующий запрос определяет подозрительные подключения RDP, которые могут указывать на вредоносные действия.

DeviceNetworkEvents
| where Timestamp > ago(1d)
| where ActionType endswith "AggregatedReport"
| where RemotePort == "3389"
| extend uniqueEventsAggregated = toint(todynamic(AdditionalFields).uniqueEventsAggregated)
| where uniqueEventsAggregated > 10
| project-reorder ActionType, Timestamp, uniqueEventsAggregated 
| sort by uniqueEventsAggregated desc