عرض أحداث ومعلومات التحكم في الجهاز في Microsoft Defender لنقطة النهاية

يساعد التحكم في جهاز Microsoft Defender لنقطة النهاية على حماية مؤسستك من فقدان البيانات المحتمل أو البرامج الضارة أو التهديدات الإلكترونية الأخرى من خلال السماح لبعض الأجهزة بالاتصال بأجهزة الكمبيوتر الخاصة بالمستخدمين أو منعها. يمكن لفريق الأمان عرض معلومات حول أحداث التحكم في الجهاز باستخدام التتبع المتقدم أو باستخدام تقرير التحكم في الجهاز.

هام

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

للوصول إلى مدخل Microsoft Defender، يجب أن يتضمن اشتراكك تقارير Microsoft 365 for E5.

حدد كل علامة تبويب لمعرفة المزيد حول التتبع المتقدم وتقرير التحكم في الجهاز.

الصيد المتقدم

ينطبق على:

عند تشغيل نهج التحكم في الجهاز، يكون الحدث مرئيا مع التتبع المتقدم، بغض النظر عما إذا كان قد بدأه النظام أو من قبل المستخدم الذي قام بتسجيل الدخول. يتضمن هذا القسم بعض أمثلة الاستعلامات التي يمكنك استخدامها في التتبع المتقدم.

مثال 1: نهج التخزين القابل للإزالة الذي تم تشغيله بواسطة فرض مستوى القرص ونظام الملفات

RemovableStoragePolicyTriggered عند حدوث إجراء، تتوفر معلومات الحدث حول إنفاذ مستوى القرص ونظام الملفات.

تلميح

حاليا، في التتبع المتقدم، هناك حد أقصى يبلغ 300 حدث لكل جهاز يوميا للأحداث RemovableStoragePolicyTriggered . استخدم تقرير التحكم في الجهاز لعرض بيانات إضافية.


//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

تلميح

هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.

راجع أيضًا