Anzeigen von Gerätesteuerungsereignissen und -informationen in Microsoft Defender for Endpoint
Microsoft Defender for Endpoint Gerätesteuerung trägt dazu bei, Ihre organization vor potenziellem Datenverlust, Schadsoftware oder anderen Cyberbedrohungen zu schützen, indem bestimmte Geräte mit den Computern der Benutzer verbunden werden können oder verhindert werden. Sie können Informationen zu Gerätesteuerungsereignissen mit erweiterter Suche oder mithilfe des Gerätesteuerungsberichts anzeigen.
Für den Zugriff auf das Microsoft Defender-Portal muss Ihr Abonnement die Microsoft 365 für E5-Berichterstellung enthalten.
Wählen Sie die einzelnen Registerkarten aus, um mehr über die erweiterte Suche und den Gerätesteuerungsbericht zu erfahren.
Erweiterte Bedrohungssuche
Gilt für:
Wenn eine Gerätesteuerungsrichtlinie ausgelöst wird, wird ein Ereignis mit erweiterter Suche angezeigt, unabhängig davon, ob es vom System oder vom Benutzer initiiert wurde, der sich angemeldet hat. Dieser Abschnitt enthält einige Beispielabfragen, die Sie bei der erweiterten Suche verwenden können.
Beispiel 1: Richtlinie für Wechseldatenträger, die durch die Erzwingung auf Datenträger- und Dateisystemebene ausgelöst wird
Wenn eine RemovableStoragePolicyTriggered
Aktion auftritt, sind Ereignisinformationen zur Erzwingung auf Datenträger- und Dateisystemebene verfügbar.
Tipp
Derzeit gilt bei der erweiterten Suche ein Grenzwert von 300 Ereignissen pro Gerät und Tag für RemovableStoragePolicyTriggered
Ereignisse. Verwenden Sie den Gerätesteuerungsbericht, um zusätzliche Daten anzuzeigen.
//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
Beispiel 2: Wechselspeicherdateiereignis
Wenn eine RemovableStorageFileEvent-Aktion auftritt, sind Informationen zur Beweisdatei sowohl für den Druckerschutz als auch für Wechselmedien verfügbar. Hier sehen Sie eine Beispielabfrage, die Sie mit der erweiterten Suche verwenden können:
//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Siehe auch
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für