Få vist hændelser og oplysninger om enhedskontrolelementer i Microsoft Defender for Endpoint

Microsoft Defender for Endpoint-enhedsstyring hjælper med at beskytte din organisation mod potentielt tab af data, malware eller andre cybertrusler ved at tillade eller forhindre, at visse enheder har forbindelse til brugernes computere. Dit sikkerhedsteam kan få vist oplysninger om enhedskontrolhændelser med avanceret jagt eller ved hjælp af rapporten over enhedskontrol.

Vigtigt!

Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

Dit abonnement skal omfatte Microsoft 365 til E5-rapportering for at få adgang til Microsoft Defender-portalen.

Vælg hver fane for at få mere at vide om avanceret jagt og rapporten over enhedskontrol.

Avanceret jagt

Avanceret jagt

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Når en politik for enhedskontrol udløses, er en hændelse synlig med avanceret jagt, uanset om den er initieret af systemet eller af den bruger, der loggede på. Dette afsnit indeholder nogle eksempelforespørgsler, som du kan bruge i avanceret jagt.

Eksempel 1: Politik for flytbart lager, der udløses af gennemtvingelse på disk- og filsystemniveau

Når der forekommer en RemovableStoragePolicyTriggered handling, er hændelsesoplysninger om gennemtvingelsen af disk- og filsystemet tilgængelig.

Tip

I øjeblikket er der i avanceret jagt en grænse på 300 hændelser pr. enhed pr. dag for RemovableStoragePolicyTriggered begivenheder. Brug rapporten over enhedskontrol til at få vist yderligere data.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Rapport over enhedskontrol

Rapport over enhedskontrol

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

Med rapporten over enhedskontrol kan du få vist hændelser, der er relateret til medieforbrug. Sådanne hændelser omfatter:

• Overvågningshændelser: Viser antallet af overvågningshændelser, der opstår, når der er forbindelse til eksterne medier.
• Politikhændelser: Viser antallet af politikhændelser, der opstår, når en politik for enhedskontrol udløses.

Bemærk!

Overvågningshændelsen til sporing af medieforbrug er som standard aktiveret for enheder, der er onboardet i Microsoft Defender for Endpoint.

Om overvågningshændelserne

Overvågningshændelserne omfatter:

• Tilslutning og afmontering af USB-drev: Overvågningshændelser, der genereres, når et USB-drev er tilsluttet eller ikke er tilsluttet.
• Pnp: Plug and Play-overvågningshændelser genereres, når der er tilsluttet et flytbart lager, en printer eller et Bluetooth-medie.
• Adgangskontrol til flytbart lager: Hændelser genereres, når en politik for adgangskontrol til flytbare lagermedier udløses. Det kan være Overvågning, Bloker eller Tillad.

Overvåg sikkerhed for enhedskontrol

Enhedskontrol i Defender for Endpoint giver sikkerhedsadministratorer værktøjer, der gør det muligt for dem at spore deres organisations enhedskontrolsikkerhed via rapporter. Du kan finde rapporten over enhedskontrol på Microsoft Defender-portalen (https://security.microsoft.com). Gå tilSlutpunkter for rapporter>. Find enhedens kontrolkort , og vælg linket for at åbne rapporten.

På dashboardet Rapporter viser kortet Enhedsbeskyttelse antallet af overvågningshændelser, der genereres af medietypen, i løbet af de sidste 180 dage. Under Vis detaljer vises rå hændelser for de sidste 30 dage.

Knappen Vis detaljer viser flere data om medieforbrug på rapportsiden Enhedskontrol .

Siden indeholder et dashboard med et samlet antal hændelser pr. type og en liste over hændelser og viser 500 hændelser pr. side, men hvis du er administrator (f.eks. sikkerhedsadministrator), kan du rulle ned for at se flere hændelser og filtrere efter tidsinterval, medieklassenavn og enheds-id.

Når du vælger en hændelse, vises der et pop op-vindue, der viser flere oplysninger:

• Generelle oplysninger: Dato, Handlingstilstand, politikken og Adgang for denne hændelse.
• Medieoplysninger: Medieoplysninger omfatter Medienavn, Klassenavn, Klasse-GUID, Enheds-id, Leverandør-id, Serienummer og Bustype.
• Oplysninger om placering: Enhedsnavn, Bruger og MDATP-enheds-id.

Hvis du vil se aktivitet i realtid for dette medie på tværs af organisationen, skal du vælge knappen Åbn avanceret jagt . Dette omfatter en integreret, foruddefineret forespørgsel.

Hvis du vil se sikkerheden for enheden, skal du vælge knappen Åbn enhedside på pop op-vinduet. Denne knap åbner enhedens enhedsside.

Rapporteringsforsinkelser

Der kan være en forsinkelse på op til seks timer fra det tidspunkt, hvor en medieforbindelse opstår, til det tidspunkt, hvor hændelsen afspejles på kortet eller på domænelisten.

Bemærk!

Når du eksporterer data, f.eks. en liste over hændelser, fra rapporten over enhedskontrol til Excel, eksporteres der op til 500 hændelser. Men hvis din organisation bruger Microsoft Sentinel, kan du integrere Defender for Endpoint med Sentinel, så alle hændelser og beskeder streames. Du kan få flere oplysninger under Opret forbindelse mellem data fra Microsoft Defender XDR og Microsoft Sentinel.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.

Se også

• Kontrolelementet Device i Microsoft Defender for Endpoint
• Enhedshåndtering til macOS