تقرير التحكم في الجهاز

مقالة
06/28/2023

يحمي Microsoft Defender لنقطة النهاية التحكم في الجهاز من فقدان البيانات من خلال مراقبة ومراقبة استخدام الوسائط من قبل الأجهزة في مؤسستك، مثل استخدام أجهزة التخزين القابلة للإزالة ومحركات أقراص USB. يمكنك استخدام أحداث التحكم في الجهاز من خلال:

التتبع المتقدم؛ و
تقرير التحكم في الجهاز.

حدد كل علامة تبويب لمعرفة المزيد حول هذه الأساليب.

الصيد المتقدم
تقرير التحكم في الجهاز

الصيد المتقدم

ينطبق على:

يعرض مدخل Microsoft Defender الأحداث التي تم تشغيلها بواسطة التحكم في الوصول إلى التخزين القابل للإزالة لعنصر التحكم في الجهاز وحماية الطابعة. للوصول إلى مدخل Microsoft Defender، يجب أن يكون لديك الاشتراك التالي:

Microsoft 365 لتقارير E5
RemovableStoragePolicyTriggered: يعرض الحدث الذي تم تشغيله بواسطة فرض مستوى القرص ونظام الملفات لكل من الطابعة والتخزين القابل للإزالة عند AuditAllowed تكوين أو AuditDenied في النهج الخاص بك ويتم تحديد حدث إرسال في خيارات.
RemovableStorageFileEvent: يعرض الحدث الذي تم تشغيله بواسطة ميزة ملف الأدلة لكل من الطابعة والتخزين القابل للإزالة عند تكوين الخيارات 8 في السماح بالإدراج.

يتم إرسال الحدث إلى التتبع المتقدم أو تقرير التحكم في الجهاز لكل وصول مغطى (AccessMask في الإدخال)، بغض النظر عما إذا كان قد بدأه النظام أو من قبل المستخدم الذي قام بتسجيل الدخول.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender لنقطة النهاية Tech Community.

تقرير التحكم في الجهاز

الصيد المتقدم

تقرير التحكم في الجهاز

فهم أحداث التدقيق

مراقبة أمان التحكم في الجهاز

تأخيرات الإبلاغ

الموارد الإضافية

الموارد الإضافية