重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。
この記事では、Microsoft Defender ポータルでカスタム データ収集ルールを作成および管理する方法について説明します。
ヒント
カスタム コレクション ルールを作成する前に、「 カスタム データ収集 」を参照して、この機能を使用するタイミングと理由を理解してください。
前提条件
次の情報があることを確認します。
| 要件 | 詳細 |
|---|---|
| License | Microsoft Defender for Endpoint Plan 2 |
| Microsoft Sentinel ワークスペース | 接続されたMicrosoft Sentinel ワークスペース (カスタム データ ストレージとクエリに必要)。現在、カスタム データ収集のテナントごとに 1 つのSentinel ワークスペースに制限されています |
| 動的タグ | 資産ルール管理で構成され、少なくとも 1 回実行されます。手動 (静的) タグはサポートされていません |
| サポートされるオペレーティング システム | • Windows 10と 11 (最小クライアント バージョン 10.8805;Windows 10 ESU 登録が必要です) • Windows Server 2019 以降 |
| コストの考慮事項 | カスタム データ収集は、Defender for Endpoint Plan 2 に含まれています。Microsoft Sentinelへのデータ インジェストでは、Sentinelの課金に基づいて料金が発生します |
重要
接続されたMicrosoft Sentinel ワークスペースがある場合でも、カスタム データ収集ルールを作成するときにワークスペースを選択する必要があります。
パフォーマンスと制限
- 各ルールは、24 時間のローリング ウィンドウごとにデバイスあたり最大 75,000 個のイベントをキャプチャできます
- デバイスがしきい値に達すると、そのルールのテレメトリはウィンドウがリセットされるまで停止します
- 規則のデプロイには通常、20 分から 1 時間かかります
- カスタム コレクションは、干渉なしで既定の構成と共に動作します
セキュリティに関する考慮事項
ルールを作成する前に、次のセキュリティへの影響を考慮してください。
| 考慮事項 | 詳細 | Recommendation |
|---|---|---|
| ルール スコープへの影響 | 広範なルールによって大量のデータが生成され、コストが増加し、分析が困難になります | 最初の結果に基づいてルールを反復処理および調整することで、特定性とカバレッジのバランスを取る |
| 狭すぎるルール | 重要なセキュリティ イベントを見逃す可能性があります | パイロット グループを使用してテストし、カバレッジのギャップを監視する |
| パフォーマンスに関する考慮事項 | 各デバイスには、ルールあたり 1 日あたり 75,000 イベントの制限があります | 1 つの過度に広範なルールではなく、複数のフォーカスされたルールを使用します。監視が不可欠なデバイスに対して慎重にターゲット ルールを設定する |
| テスト戦略 | テストを行わずにルールをデプロイすると、予期しないコストやイベントが発生する可能性があります | 1. 小規模なパイロット グループ (5 ~ 10 台のデバイス) から開始する 2. データ量とイベント品質を 24 時間から 48 時間監視する 3. 結果に基づいて条件を絞り込む 4. 大規模なデバイス グループに段階的に展開する 5. コストとパフォーマンスのメトリックを定期的に確認する |
ルールを作成する
Microsoft Defender ポータルで、[設定>Endpoints>Rules>Custom Data Collection] に移動します。
Microsoft Sentinel ワークスペースをオンボードするには、右上の [Microsoft Sentinel ワークスペース名] を選択します。
[ ワークスペース スコープ ] ページで、ワークスペースを選択します。
注:
ワークスペースが既に接続されている場合でも、この段階でワークスペースMicrosoft Sentinel選択する必要があります。
[ルールの作成] を選択します。 [ 全般情報 ] セクションで、規則の名前と説明を入力し、[ 次へ] を選択します。
![ルールの作成のスクリーンショット: [全般情報] ページ。](media/create-custom-data-collection-rules/create-custom-data-collection-rule-general.png)
[ルールの作成] セクションで、 次の手順を実行します 。
- データを収集するテーブルを選択します。 詳細については、「 サポートされているイベント テーブル」を参照してください。
- データを収集するアクションを選択します。
- さらにデータをフィルター処理するルール条件を追加します。 複数の条件を追加して、データ収集を絞り込むことができます。 ルール条件は、選択したテーブルに基づいています。 詳細については、「 サポートされているイベント テーブル」の各テーブル リンクを参照してください。
![ルールの作成のスクリーンショット: [ルールの作成] ページ。](media/create-custom-data-collection-rules/create-custom-data-collection-rule.png)
[次へ] を選択します。
[ ルール スコープの定義 ] セクションで、該当するすべてのクライアント デバイスからデータを収集するか、動的タグを含む特定のデバイスからデータを収集するかを選択します。 詳細については、「 資産ルール管理でデバイスの動的ルールを作成する」を参照してください。
![ルールの作成のスクリーンショット: [スコープの定義] ページ。](media/create-custom-data-collection-rules/create-custom-data-collection-rule-define-scope.png)
注:
カスタム データ収集では、動的タグのみがサポートされます。
[ 確認と完了 ] セクションで、ルールの設定を確認し、[送信] を選択 します。
![ルールの作成のスクリーンショット: [確認と完了] ページ。](media/create-custom-data-collection-rules/create-custom-data-collection-rule-review.png)
![ルールの作成のスクリーンショット: [全般情報] ページ。](media/create-custom-data-collection-rules/create-custom-data-collection-rule-general.png#lightbox)
![ルールの作成のスクリーンショット: [ルールの作成] ページ。](media/create-custom-data-collection-rules/create-custom-data-collection-rule.png#lightbox)
![ルールの作成のスクリーンショット: [スコープの定義] ページ。](media/create-custom-data-collection-rules/create-custom-data-collection-rule-define-scope.png#lightbox)
![ルールの作成のスクリーンショット: [確認と完了] ページ。](media/create-custom-data-collection-rules/create-custom-data-collection-rule-review.png#lightbox)
対象デバイスにルールが展開されるまでに最大で 1 時間かかる場合があります。
監視とトラブルシューティング
カスタム データ収集ルールをデプロイした後、パフォーマンスを監視し、問題のトラブルシューティングを行います。
ルールの展開を確認する
ルールが特定のデバイスからデータを収集しているかどうかをチェックするには、高度なハンティングでカスタム イベント テーブルにクエリを実行します。
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents, DeviceCustomProcessEvents, DeviceCustomImageLoadEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize EventCount = count() by RuleName, RuleLastModificationTime, $table
| order by RuleLastModificationTime desc
共通の問題と解決策
| 問題 | 考えられる原因 | ソリューション |
|---|---|---|
| イベントが収集されない | まだデプロイされていないルール | デプロイまで最大 1 時間待ちます。ポータルでルールの状態をチェックする |
| イベントが収集されない | デバイスのターゲットが正しくない | 動的タグがデバイスに適用され、タグ ルールが資産ルール管理で実行されていることを確認する |
| イベントの収集が停止しました | 75,000 イベント制限に達しました | ルールの条件を確認して、より具体的なものにします。24 時間のウィンドウがリセットされるまで待つ |
| データを収集する予期しないデバイス | 動的タグの広範な適用 | アセット ルール管理でタグ ルールを確認する。ターゲット条件を絞り込む |
| デバイスにルールが表示されない | デバイスが OS 要件を満たしていない | クライアントのバージョンと OS のバージョンが最小要件を満たしていることを確認します (Windows 10/11 バージョン 10.8805 以降、Windows Server 2019 以降) |
| カスタム コレクションが初期化されていない | EDR の除外によって収集が妨げる可能性がある | ターゲット パスまたはプロセスで EDR 除外を確認します。カスタム コレクションが初期化されていない場合は、デバイスの再起動が必要になる場合があります |
| タグが更新されない | 動的タグが最近実行されていない | 動的タグは約 1 時間ごとに更新されます。チェック資産ルール管理の最終ランタイム |
ルールのパフォーマンスを監視する
- イベント ボリュームの確認: カスタム イベント テーブルにクエリを実行して、各ルールが収集しているイベントの数を確認します
- コレクションの状態を確認する: デバイスが 1 日あたりのルールあたりの 75,000 イベントに近づいているかどうかを監視します
- ターゲットの検証: 動的タグに基づいてルールが正しいデバイスにデプロイされていることを確認する
テストのためにすべてのイベントを収集する
(テストまたは包括的な監視のために) 特定のテーブルからすべてのイベントを収集するには:
- 目的のテーブルを使用してルールを作成する
- 使用可能なすべてのアクションを選択する
- 次のように、常に true の条件を追加します。
- ネットワーク イベントの場合:
RemotePort not equals 0 - ファイル イベントの場合:
FileName not equals "" - プロセス イベントの場合:
ProcessCommandLine not equals ""
- ネットワーク イベントの場合:
- データ量が多いため、最初に小規模なパイロット グループをターゲットにする
警告
すべてのイベントを収集すると、非常に大きなデータ ボリュームが生成され、デバイスごとの 75,000 イベントの制限にすばやく到達できます。 包括的なコレクションは、少数のデバイスでのテストまたは特定の調査目的にのみ使用します。
ルールの管理
ルールを編集する
- [設定>Endpoints>Rules>Custom Data Collection に移動します
- 編集するルールを選択します
- [ 編集] を選択します
- 必要に応じてルール設定を変更する (名前、説明、テーブル、アクション、条件、またはデバイスのターゲット設定)
- [ 送信] を選択します
変更は、対象となるデバイスで 20 分以内から 1 時間以内に有効になります。
ルールを有効または無効にする
- [ カスタム データ収集] で、ルールを選択します
- ルールの説明の下にある [有効にする ] チェック ボックスをオンまたはオフにする
ルールを無効にすると、次のエージェント チェックイン内のすべてのターゲット デバイスでデータ収集が停止します (通常は数分から 1 時間以内)。
ルールを削除する
- [ カスタム データ収集] で、ルールを選択します
- [ 削除] を選択します
- 削除の確認
重要
ルールの削除は永続的であり、元に戻すことはできません。 Microsoft Sentinelの履歴データは引き続き使用できますが、新しいコレクションはすぐに停止します。
次の手順
- カスタム データ収集の概要: 機能とカスタム コレクションを使用するタイミングを確認する
- デバイス タグとターゲット デバイスの作成と管理: タグが大規模なデバイス ターゲットを有効にする方法について説明します
- 高度なハンティング: Microsoft Sentinelのカスタム イベント テーブルに対してクエリを実行する