عرض أحداث ومعلومات التحكم في الجهاز في Microsoft Defender لنقطة النهاية

مقالة
02/02/2024

يساعد التحكم في الجهاز Microsoft Defender لنقطة النهاية على حماية مؤسستك من فقدان البيانات المحتمل أو البرامج الضارة أو التهديدات الإلكترونية الأخرى من خلال السماح لبعض الأجهزة بالاتصال بأجهزة الكمبيوتر الخاصة بالمستخدمين أو منعها. يمكنك عرض معلومات حول أحداث التحكم في الجهاز باستخدام التتبع المتقدم أو باستخدام تقرير التحكم في الجهاز.

للوصول إلى مدخل Microsoft Defender، يجب أن يتضمن اشتراكك تقارير Microsoft 365 for E5.

حدد كل علامة تبويب لمعرفة المزيد حول التتبع المتقدم وتقرير التحكم في الجهاز.

الصيد المتقدم
تقرير التحكم في الجهاز

الصيد المتقدم

ينطبق على:

عند تشغيل نهج التحكم في الجهاز، يكون الحدث مرئيا مع التتبع المتقدم، بغض النظر عما إذا كان قد بدأه النظام أو من قبل المستخدم الذي قام بتسجيل الدخول. يتضمن هذا القسم بعض أمثلة الاستعلامات التي يمكنك استخدامها في التتبع المتقدم.

مثال 1: نهج التخزين القابل للإزالة الذي تم تشغيله بواسطة فرض مستوى القرص ونظام الملفات

RemovableStoragePolicyTriggered عند حدوث إجراء، تتوفر معلومات الحدث حول إنفاذ مستوى القرص ونظام الملفات.

تلميح

حاليا، في التتبع المتقدم، هناك حد أقصى يبلغ 300 حدث لكل جهاز يوميا للأحداث RemovableStoragePolicyTriggered . استخدم تقرير التحكم في الجهاز لعرض بيانات إضافية.


//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

مثال 2: حدث ملف تخزين قابل للإزالة

عند حدوث إجراء RemovableStorageFileEvent، تتوفر معلومات حول ملف الأدلة لكل من حماية الطابعة والتخزين القابل للإزالة. فيما يلي مثال على استعلام يمكنك استخدامه مع التتبع المتقدم:


//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc