Microsoft Defender for Endpointでカスタム データ収集ルールを作成および管理する (プレビュー)

カスタム データ収集 (プレビュー) を使用すると、組織は、特殊な脅威ハンティングとセキュリティ監視のニーズをサポートするために、既定の構成を超えてテレメトリ収集を拡張およびカスタマイズできます。

カスタム データ収集ルールを使用すると、特定のイベントを定義し、データを分析して、セキュリティの可視性と脅威ハンティング操作を強化できます。 カスタム データ収集ルールは、フォルダー パス、プロセス名、ネットワーク接続などのイベント プロパティに合わせて調整されたフィルターに基づいています。

この記事では、Microsoft Defender ポータルでカスタム データ収集ルールを作成および管理する方法について説明します。

カスタム データ収集ルールを作成する

前提条件

カスタム データ収集を使用するには、次の前提条件があることをチェックします。

• Microsoft Defender for Endpoint P2 ライセンス。
• 接続されたMicrosoft Sentinel ワークスペース: カスタム データ ストレージとクエリに必要です。 現在、カスタム データ収集用の Defender for Endpoint テナントごとに接続できるSentinel ワークスペースは 1 つだけです。

  注:

  接続されたMicrosoft Sentinel ワークスペースがある場合でも、カスタム データ収集ルールを作成するときにワークスペースを選択する必要があります。 詳細については、「ルールの 作成」を参照してください。

• デバイス ターゲット用に 資産ルール管理 で構成された動的タグ。 カスタム データ収集にタグを使用するには、タグを少なくとも 1 回実行する必要があります。

サポートされるオペレーティング システム

• Windows 10と 11。Defender for Endpoint クライアント バージョンが 10.8805 以上です。
  • Windows 10には、拡張セキュリティ Updates (ESU) プログラムへの登録が必要です。
• Windows Server 2019 以降。

パフォーマンスと制限

• 各コレクション ルールは、24 時間のローリング 期間内にデバイスごとに最大 25,000 イベントをキャプチャできます。 デバイスが制限に達すると、特定のデバイスの特定のルールのテレメトリは、ウィンドウがリセットされるまで停止します。
  • デバイスがサイクルの早い段階でしきい値に達した場合、テレメトリが再開されるまでに最大 24 時間かかることがあります。 たとえば、ウィンドウがリセットされてから 1 時間後にデバイスが制限に達した場合、テレメトリは 23 時間後に再開されます。
  • デバイスがウィンドウの終わり付近のしきい値に達した場合、遅延は短くなります。 たとえば、ウィンドウがリセットされる 2 時間前にデバイスが制限に達した場合、テレメトリは 2 時間後に再開されます。
• 規則のデプロイには通常、20 分から 1 時間かかります。
• カスタム コレクションは、既定の Defender for Endpoint 構成と共に、干渉なしで動作します。

データ コスト

カスタム データ収集は、Microsoft Defender for Endpoint P2 ライセンスに含まれています。 ただし、Microsoft Sentinel ワークスペースへのデータ インジェストでは、Sentinelの課金の配置に基づいて料金が発生します。

ルールを作成する

1. Microsoft Defender ポータルで、[設定>Endpoints>Rules>Custom Data Collection] に移動します。

2. Microsoft Sentinel ワークスペースをオンボードするには、右上の [Microsoft Sentinel ワークスペース名] を選択します。

   

3. [ ワークスペース スコープ ] ページで、ワークスペースを選択します。

   

   注:

   ワークスペースが既に接続されている場合でも、この段階でワークスペースMicrosoft Sentinel選択する必要があります。

4. [ルールの作成] を選択します。 [ 全般情報 ] セクションで、規則の名前と説明を入力し、[ 次へ] を選択します。

   

5. [ルールの作成] セクションで、 次の手順を実行します 。

   1. データを収集するテーブルを選択します。 詳細については、「 サポートされているイベント テーブル」を参照してください。
   2. データを収集するアクションを選択します。
   3. さらにデータをフィルター処理するルール条件を追加します。 複数の条件を追加して、データ収集を絞り込むことができます。 ルール条件は、選択したテーブルに基づいています。 詳細については、「 サポートされているイベント テーブル」の各テーブル リンクを参照してください。

   

6. [次へ] を選択します。

7. [ ルール スコープの定義 ] セクションで、該当するすべてのクライアント デバイスからデータを収集するか、動的タグを含む特定のデバイスからデータを収集するかを選択します。 詳細については、「 資産ルール管理でデバイスの動的ルールを作成する」を参照してください。

   

   注:

   カスタム データ収集では、動的タグのみがサポートされます。

8. [ 確認と完了 ] セクションで、ルールの設定を確認し、[送信] を選択 します。

   

対象デバイスにルールが展開されるまでに最大で 1 時間かかる場合があります。

監視とトラブルシューティング

ルールが期待どおりに機能しない場合:

• 予期しないユース ケースでイベントを収集する広範なルールを作成します。 たとえば、 port not equals 0するすべてのネットワーク イベントを収集するルールを作成します。
• 個々のフィルターとタグを適用して、問題を分離します。
• 機能を有効にした後にデバイスが応答しない場合は、デバイスを再起動します。

カスタム データ収集ルールを監視およびトラブルシューティングする場合は、次の考慮事項を確認してください。

• エンドポイントの検出と応答 (EDR) の除外によって、カスタム コレクション規則がオーバーライドされる場合があります。
• 動的タグは約 1 時間ごとに更新されます。 状態の カスタム コレクション>Last ランタイム 列を確認します。

カスタム データ収集ルールを編集、削除、および有効または無効にする

• ルールを編集するには、[設定>Endpoints>Rules>Custom コレクション] に移動し、編集するルールを選択し、[編集] を選択します。
• ルールを無効または有効にするには、変更するルールを選択し、ルールの説明の下にある [チェックを有効にする] ボックスをオンまたはオフにします。 ルールを無効にすると、そのルールのデータ収集はすべての対象デバイスで停止します。
• ルールを削除するには、削除するルールを選択し、[削除] を選択 します。 ルールを削除すると、ルールはシステムから完全に削除されます。