Anzeigen von Gerätesteuerungsereignissen und -informationen in Microsoft Defender für Endpunkt

Die Gerätesteuerung von Microsoft Defender für Endpunkt schützt Ihre Organisation vor potenziellem Datenverlust, Schadsoftware oder anderen Cyberbedrohungen, indem sie die Verbindung bestimmter Geräte mit den Computern der Benutzer zulässt oder verhindert. Ihr Sicherheitsteam kann Informationen zu Gerätesteuerungsereignissen mit erweiterter Suche oder mithilfe des Gerätesteuerungsberichts anzeigen.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Für den Zugriff auf das Microsoft Defender-Portal muss Ihr Abonnement die Microsoft 365 für E5-Berichterstellung enthalten.

Wählen Sie die einzelnen Registerkarten aus, um mehr über die erweiterte Suche und den Gerätesteuerungsbericht zu erfahren.

Erweiterte Bedrohungssuche

Erweiterte Bedrohungssuche

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2

Wenn eine Gerätesteuerungsrichtlinie ausgelöst wird, wird ein Ereignis mit erweiterter Suche angezeigt, unabhängig davon, ob es vom System oder vom Benutzer initiiert wurde, der sich angemeldet hat. Dieser Abschnitt enthält einige Beispielabfragen, die Sie bei der erweiterten Suche verwenden können.

Beispiel 1: Richtlinie für Wechseldatenträger, die durch die Erzwingung auf Datenträger- und Dateisystemebene ausgelöst wird

Wenn eine RemovableStoragePolicyTriggered Aktion auftritt, sind Ereignisinformationen zur Erzwingung auf Datenträger- und Dateisystemebene verfügbar.

Tipp

Derzeit gilt bei der erweiterten Suche ein Grenzwert von 300 Ereignissen pro Gerät und Tag für RemovableStoragePolicyTriggered Ereignisse. Verwenden Sie den Gerätesteuerungsbericht, um zusätzliche Daten anzuzeigen.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Gerätesteuerungsbericht

Gerätesteuerungsbericht

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender für Unternehmen

Mit dem Gerätesteuerungsbericht können Sie Ereignisse anzeigen, die sich auf die Mediennutzung beziehen. Zu diesen Ereignissen gehören:

• Überwachungsereignisse: Zeigt die Anzahl der Überwachungsereignisse an, die auftreten, wenn externe Medien verbunden sind.
• Richtlinienereignisse: Zeigt die Anzahl von Richtlinienereignissen an, die auftreten, wenn eine Gerätesteuerungsrichtlinie ausgelöst wird.

Hinweis

Das Überwachungsereignis zum Nachverfolgen der Mediennutzung ist standardmäßig für Geräte aktiviert, die in Microsoft Defender für Endpunkt integriert sind.

Grundlegendes zu Überwachungsereignissen

Zu den Überwachungsereignissen gehören:

• Ein- und Aufheben der Einbindung des USB-Laufwerks: Überwachungsereignisse, die beim Einbinden oder Aufheben der Bereitstellung eines USB-Laufwerks generiert werden.
• Pnp: Plug-and-Play-Überwachungsereignisse werden generiert, wenn Wechseldatenträger, Drucker oder Bluetooth-Medien verbunden sind.
• Zugriffssteuerung für Wechselmedien: Ereignisse werden generiert, wenn eine Richtlinie für die Zugriffssteuerung für Wechselmedien ausgelöst wird. Dies kann "Audit", "Block" oder "Allow" sein.

Überwachen der Gerätesteuerungssicherheit

Die Gerätesteuerung in Defender für Endpunkt ermöglicht Sicherheitsadministratoren Tools, mit denen sie die Gerätesteuerungssicherheit ihrer Organisation über Berichte nachverfolgen können. Sie finden den Bericht zur Gerätesteuerung im Microsoft Defender-Portal (https://security.microsoft.com). Wechseln Sie zu Berichte>Endpunkte. Suchen Sie die Gerätesteuerungskarte , und wählen Sie den Link aus, um den Bericht zu öffnen.

Im Dashboard Berichte zeigt die Karte Geräteschutz die Anzahl der Überwachungsereignisse an, die vom Medientyp in den letzten 180 Tagen generiert wurden. Unter Details anzeigen werden unformatierte Ereignisse der letzten 30 Tage aufgelistet.

Die Schaltfläche Details anzeigen zeigt weitere Mediennutzungsdaten auf der Berichtsseite Gerätesteuerung an.

Die Seite bietet ein Dashboard mit einer aggregierten Anzahl von Ereignissen pro Typ und einer Liste von Ereignissen und zeigt 500 Ereignisse pro Seite an. Wenn Sie jedoch Administrator sind (z. B. ein Sicherheitsadministrator), können Sie nach unten scrollen, um weitere Ereignisse anzuzeigen und nach Zeitbereich, Medienklassenname und Geräte-ID zu filtern.

Wenn Sie ein Ereignis auswählen, wird ein Flyout mit weiteren Informationen angezeigt:

• Allgemeine Details: Datum, Aktionsmodus, die Richtlinie und Zugriff dieses Ereignisses.
• Medieninformationen: Medieninformationen umfassen Medienname, Klassenname, Klassen-GUID, Geräte-ID, Anbieter-ID, Seriennummer und Bustyp.
• Standortdetails: Gerätename, Benutzer und MDATP-Geräte-ID.

Um Echtzeitaktivitäten für diese Medien in der gesamten Organisation anzuzeigen, wählen Sie die Schaltfläche Erweiterte Suche öffnen aus. Dies schließt eine eingebettete, vordefinierte Abfrage ein.

Um die Sicherheit des Geräts anzuzeigen, wählen Sie im Flyout die Schaltfläche Seite "Gerät öffnen " aus. Mit dieser Schaltfläche wird die Seite mit der Geräteentität geöffnet.

Melden von Verzögerungen

Es kann eine Verzögerung von bis zu sechs Stunden zwischen dem Zeitpunkt, zu dem eine Medienverbindung besteht, bis zu dem Zeitpunkt, zu dem das Ereignis in der Karte oder in der Domänenliste widergespiegelt wird.

Hinweis

Wenn Sie Daten, z. B. eine Liste von Ereignissen, aus dem Gerätesteuerungsbericht nach Excel exportieren, werden bis zu 500 Ereignisse exportiert. Wenn Ihre Organisation jedoch Microsoft Sentinel verwendet, können Sie Defender für Endpunkt in Sentinel integrieren, sodass alle Incidents und Warnungen gestreamt werden. Weitere Informationen finden Sie unter Verbinden von Daten aus Microsoft Defender XDR mit Microsoft Sentinel.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.

Siehe auch

• Gerätesteuerung in Microsoft Defender für Endpunkt
• Gerätesteuerung für macOS