Compartir a través de

Creación y administración de reglas de recopilación de datos personalizadas en Microsoft Defender para punto de conexión (versión preliminar)

  • Se aplica a: Microsoft Defender for Endpoint

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

La recopilación de datos personalizada (versión preliminar) permite a las organizaciones expandir y personalizar la recopilación de telemetría más allá de las configuraciones predeterminadas para admitir las necesidades especializadas de búsqueda de amenazas y supervisión de seguridad.

Las reglas de recopilación de datos personalizadas permiten definir eventos específicos y analizar los datos para mejorar la visibilidad de la seguridad y las operaciones de búsqueda de amenazas. Las reglas de recopilación de datos personalizadas se basan en filtros personalizados para las propiedades de evento, como rutas de acceso de carpeta, nombres de proceso y conexiones de red.

En este artículo se muestra cómo crear y administrar reglas de recopilación de datos personalizadas en el portal de Microsoft Defender.

Creación de reglas de recopilación de datos personalizadas

Requisitos previos

Para usar la recopilación de datos personalizada, compruebe que tiene los siguientes requisitos previos:

  • Una licencia Microsoft Defender para punto de conexión P2.
  • Un área de trabajo de Microsoft Sentinel conectada: necesaria para el almacenamiento y las consultas de datos personalizados. Actualmente solo puede conectar un área de trabajo Sentinel por inquilino de Defender para punto de conexión para la recopilación de datos personalizada.

    Nota:

    Incluso si tiene un área de trabajo Microsoft Sentinel conectada, debe seleccionar el área de trabajo al crear una regla de recopilación de datos personalizada. Para obtener más información, vea Crear reglas.

  • Etiquetas dinámicas configuradas en Asset Rule Management para el destino de dispositivos. Para usar una etiqueta para la recopilación de datos personalizada, la etiqueta debe ejecutarse al menos una vez.

Sistemas operativos admitidos

  • Windows 10 y 11 con una versión mínima de cliente de Defender para punto de conexión de 10.8805.
  • Windows Server 2019 y versiones posteriores.

Rendimiento y límites

  • Cada regla de recopilación puede capturar hasta 25 000 eventos por dispositivo en un período gradual de 24 horas. Una vez que el dispositivo alcanza el límite, la telemetría de la regla específica del dispositivo específico se detiene hasta que se restablece la ventana.
    • Si el dispositivo alcanza el umbral al principio del ciclo, la telemetría puede tardar hasta 24 horas en reanudarse. Por ejemplo, si el dispositivo alcanza el límite una hora después de que se restablezca la ventana, la telemetría se reanuda después de 23 horas.
    • Si el dispositivo alcanza el umbral cerca del final de la ventana, el retraso es más corto. Por ejemplo, si el dispositivo alcanza el límite dos horas antes de que se restablezca la ventana, la telemetría se reanuda después de dos horas.
  • La implementación de reglas normalmente tarda entre 20 minutos y una hora.
  • La recopilación personalizada funciona junto con la configuración predeterminada de Defender para punto de conexión sin interferencias.

Costos de datos

La recopilación de datos personalizada se incluye con licencias de Microsoft Defender para punto de conexión P2. Sin embargo, la ingesta de datos en Microsoft Sentinel áreas de trabajo incurre en cargos en función del acuerdo de facturación de Sentinel.

Crear reglas

  1. Enel portal de Microsoft Defender, vaya a Configuración> Reglas depuntos de conexiónRecopilación de datos personalizados.>>

  2. Para incorporar el área de trabajo de Microsoft Sentinel, en la parte superior derecha, seleccione el nombre del área de trabajo Microsoft Sentinel.

    Captura de pantalla de la selección de un área de trabajo de Microsoft Sentinel.

  3. En la página Ámbito del área de trabajo, seleccione el área de trabajo.

    Captura de pantalla de la selección de un ámbito de área de trabajo de Microsoft Sentinel.

    Nota:

    Debe seleccionar el área de trabajo en esta fase, incluso si ya tiene un área de trabajo Microsoft Sentinel conectada.

  4. Seleccione Crear regla. En la sección Información general , escriba un nombre de regla y una descripción y seleccione Siguiente.

    Captura de pantalla de la creación de una regla: página Información general.

  5. En la sección Crear regla :

    1. Seleccione la tabla de la que desea recopilar datos. Para obtener más información, consulte Tablas de eventos compatibles.
    2. Seleccione la acción para la que desea recopilar datos.
    3. Agregue condiciones de regla para filtrar los datos aún más. Puede agregar varias condiciones para refinar la recopilación de datos. Las condiciones de regla se basan en la tabla seleccionada. Para obtener más información, vea el vínculo de tabla correspondiente en Tablas de eventos compatibles.

    Captura de pantalla de la creación de una regla: página Crear regla.

  6. Seleccione Siguiente.

  7. En la sección Definir ámbito de regla , seleccione si desea recopilar datos de todos los dispositivos cliente aplicables o de dispositivos específicos que incluyan etiquetas dinámicas. Para obtener más información, consulte Creación de reglas dinámicas para dispositivos en la administración de reglas de recursos.

    Captura de pantalla de la creación de una regla: página Definir ámbito.

    Nota:

    La recopilación de datos personalizada solo admite etiquetas dinámicas.

  8. En la sección Revisar y finalizar , revise la configuración de la regla y seleccione Enviar.

    Captura de pantalla de la creación de una regla: página Revisar y finalizar.

La regla puede tardar hasta una hora en implementarse en los dispositivos de destino.

Supervisar y solucionar problemas

Si las reglas no funcionan según lo esperado:

  • Cree una regla amplia para recopilar eventos en un caso de uso inesperado. Por ejemplo, cree una regla que recopile todos los eventos de red donde port not equals 0.
  • Aplique filtros y etiquetas individuales para aislar los problemas.
  • Si un dispositivo no responde después de habilitar la característica, reinicie el dispositivo.

Revise estas consideraciones al supervisar y solucionar problemas de reglas de recopilación de datos personalizadas:

  • Las exclusiones de detección y respuesta de puntos de conexión (EDR) pueden invalidar las reglas de recopilación personalizadas.
  • Las etiquetas dinámicas se actualizan aproximadamente cada hora. Compruebe la columnaCustom collection Last run time (Última hora de ejecución de la colección> personalizada) para ver el estado.

Editar, eliminar y habilitar o deshabilitar reglas de recopilación de datos personalizadas

  • Para editar una regla, vaya a Configuración>Reglas de puntos de conexión>>Colección personalizada, seleccione la regla que desea editar y seleccione Editar.
  • Para deshabilitar o habilitar una regla, seleccione la regla que desea modificar y active o desactive la casilla Habilitar en la descripción de la regla. Al deshabilitar una regla, la recopilación de datos para esa regla se detiene en todos los dispositivos de destino.
  • Para eliminar una regla, seleccione la regla que desea eliminar y seleccione Eliminar. Al eliminar una regla, la regla se quita permanentemente del sistema.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.

  • Last updated on