عرض أحداث ومعلومات التحكم في الجهاز في Microsoft Defender لنقطة النهاية

يساعد التحكم في جهاز Microsoft Defender لنقطة النهاية على حماية مؤسستك من فقدان البيانات المحتمل أو البرامج الضارة أو التهديدات الإلكترونية الأخرى من خلال السماح لبعض الأجهزة بالاتصال بأجهزة الكمبيوتر الخاصة بالمستخدمين أو منعها. يمكن لفريق الأمان عرض معلومات حول أحداث التحكم في الجهاز باستخدام التتبع المتقدم أو باستخدام تقرير التحكم في الجهاز.

هام

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

للوصول إلى مدخل Microsoft Defender، يجب أن يتضمن اشتراكك تقارير Microsoft 365 for E5.

حدد كل علامة تبويب لمعرفة المزيد حول التتبع المتقدم وتقرير التحكم في الجهاز.

الصيد المتقدم

الصيد المتقدم

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2

عند تشغيل نهج التحكم في الجهاز، يكون الحدث مرئيا مع التتبع المتقدم، بغض النظر عما إذا كان قد بدأه النظام أو من قبل المستخدم الذي قام بتسجيل الدخول. يتضمن هذا القسم بعض أمثلة الاستعلامات التي يمكنك استخدامها في التتبع المتقدم.

مثال 1: نهج التخزين القابل للإزالة الذي تم تشغيله بواسطة فرض مستوى القرص ونظام الملفات

RemovableStoragePolicyTriggered عند حدوث إجراء، تتوفر معلومات الحدث حول إنفاذ مستوى القرص ونظام الملفات.

تلميح

حاليا، في التتبع المتقدم، هناك حد أقصى يبلغ 300 حدث لكل جهاز يوميا للأحداث RemovableStoragePolicyTriggered . استخدم تقرير التحكم في الجهاز لعرض بيانات إضافية.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

تقرير التحكم في الجهاز

تقرير التحكم في الجهاز

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender for Business

باستخدام تقرير التحكم في الجهاز، يمكنك عرض الأحداث التي تتعلق باستخدام الوسائط. وتشمل هذه الأحداث ما يلي:

• أحداث التدقيق: يعرض عدد أحداث التدقيق التي تحدث عند توصيل الوسائط الخارجية.
• أحداث النهج: يعرض عدد أحداث النهج التي تحدث عند تشغيل نهج التحكم في الجهاز.

ملاحظة

يتم تمكين حدث التدقيق لتعقب استخدام الوسائط بشكل افتراضي للأجهزة المإلحاقة ب Microsoft Defender لنقطة النهاية.

فهم أحداث التدقيق

تتضمن أحداث التدقيق ما يلي:

• تحميل محرك أقراص USB وإلغاء تحميله: تدقيق الأحداث التي يتم إنشاؤها عند تحميل محرك أقراص USB أو إلغاء تحميله.
• PnP: يتم إنشاء أحداث تدقيق التوصيل والتشغيل عند توصيل التخزين القابل للإزالة أو الطابعة أو وسائط Bluetooth.
• التحكم في الوصول إلى التخزين القابل للإزالة: يتم إنشاء الأحداث عند تشغيل نهج التحكم في الوصول إلى التخزين القابل للإزالة. يمكن أن يكون Audit أو Block أو Allow.

مراقبة أمان التحكم في الجهاز

يتيح التحكم في الجهاز في Defender لنقطة النهاية لمسؤولي الأمان الأدوات التي تمكنهم من تعقب أمان التحكم في الأجهزة في مؤسستهم من خلال التقارير. يمكنك العثور على تقرير التحكم في الجهاز في مدخل Microsoft Defender (https://security.microsoft.com). انتقل إلى Reports>Endpoints. ابحث عن بطاقة التحكم بالجهاز ، وحدد الارتباط لفتح التقرير.

في لوحة معلومات التقارير ، تعرض بطاقة حماية الجهاز عدد أحداث التدقيق التي تم إنشاؤها بواسطة نوع الوسائط، خلال آخر 180 يوما. ضمن عرض التفاصيل، يتم سرد الأحداث الأولية على مدار آخر 30 يوما.

يعرض الزر عرض التفاصيل المزيد من بيانات استخدام الوسائط في صفحة تقرير التحكم بالجهاز .

توفر الصفحة لوحة معلومات تحتوي على عدد مجمع من الأحداث لكل نوع وقائمة بالأحداث وتعرض 500 حدث لكل صفحة، ولكن إذا كنت مسؤولا (مثل مسؤول الأمان)، يمكنك التمرير لأسفل لرؤية المزيد من الأحداث ويمكن التصفية حسب النطاق الزمني واسم فئة الوسائط ومعرف الجهاز.

عند تحديد حدث، تظهر قائمة منبثقة تعرض لك المزيد من المعلومات:

• التفاصيل العامة: التاريخ ووضع الإجراء والنهج والوصول إلى هذا الحدث.
• معلومات الوسائط: تتضمن معلومات الوسائط اسم الوسائط واسم الفئة و GUID للفئة ومعرف الجهاز ومعرف المورد والرقم التسلسلي ونوع الناقل.
• تفاصيل الموقع: اسم الجهاز والمستخدم ومعرف جهاز MDATP.

لمشاهدة نشاط في الوقت الحقيقي لهذه الوسائط عبر المؤسسة، حدد الزر Open Advanced hunting . يتضمن ذلك استعلاما مضمنا ومعرفا مسبقا.

للاطلاع على أمان الجهاز، حدد الزر فتح صفحة الجهاز على القائمة المنبثقة. يفتح هذا الزر صفحة كيان الجهاز.

تأخيرات الإبلاغ

قد يكون هناك تأخير يصل إلى ست ساعات من وقت حدوث اتصال وسائط إلى وقت ظهور الحدث في البطاقة أو في قائمة المجالات.

ملاحظة

عند تصدير البيانات، مثل قائمة الأحداث، من تقرير التحكم في الجهاز إلى Excel، يتم تصدير ما يصل إلى 500 حدث. ومع ذلك، إذا كانت مؤسستك تستخدم Microsoft Sentinel، يمكنك دمج Defender لنقطة النهاية مع Sentinel بحيث يتم دفق جميع الحوادث والتنبيهات. لمزيد من المعلومات، راجع توصيل البيانات من Microsoft Defender XDR ب Microsoft Sentinel.

تلميح

هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.

راجع أيضًا

• التحكم في الجهاز في Microsoft Defender لنقطة النهاية
• التحكم في الجهاز لنظام التشغيل macOS