Anzeigen von Gerätesteuerungsereignissen und -informationen in Microsoft Defender for Endpoint

Microsoft Defender for Endpoint Gerätesteuerung trägt dazu bei, Ihre organization vor potenziellem Datenverlust, Schadsoftware oder anderen Cyberbedrohungen zu schützen, indem bestimmte Geräte mit den Computern der Benutzer verbunden werden können oder verhindert werden. Sie können Informationen zu Gerätesteuerungsereignissen mit erweiterter Suche oder mithilfe des Gerätesteuerungsberichts anzeigen.

Für den Zugriff auf das Microsoft Defender-Portal muss Ihr Abonnement die Microsoft 365 für E5-Berichterstellung enthalten.

Wählen Sie die einzelnen Registerkarten aus, um mehr über die erweiterte Suche und den Gerätesteuerungsbericht zu erfahren.

Erweiterte Bedrohungssuche

Erweiterte Bedrohungssuche

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2

Wenn eine Gerätesteuerungsrichtlinie ausgelöst wird, wird ein Ereignis mit erweiterter Suche angezeigt, unabhängig davon, ob es vom System oder vom Benutzer initiiert wurde, der sich angemeldet hat. Dieser Abschnitt enthält einige Beispielabfragen, die Sie bei der erweiterten Suche verwenden können.

Beispiel 1: Richtlinie für Wechseldatenträger, die durch die Erzwingung auf Datenträger- und Dateisystemebene ausgelöst wird

Wenn eine RemovableStoragePolicyTriggered Aktion auftritt, sind Ereignisinformationen zur Erzwingung auf Datenträger- und Dateisystemebene verfügbar.

Tipp

Derzeit gilt bei der erweiterten Suche ein Grenzwert von 300 Ereignissen pro Gerät und Tag für RemovableStoragePolicyTriggered Ereignisse. Verwenden Sie den Gerätesteuerungsbericht, um zusätzliche Daten anzuzeigen.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Beispiel 2: Wechselspeicherdateiereignis

Wenn eine RemovableStorageFileEvent-Aktion auftritt, sind Informationen zur Beweisdatei sowohl für den Druckerschutz als auch für Wechselmedien verfügbar. Hier sehen Sie eine Beispielabfrage, die Sie mit der erweiterten Suche verwenden können:

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Gerätesteuerungsbericht

Gerätesteuerungsbericht

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender für Unternehmen

Mit dem Gerätesteuerungsbericht können Sie Ereignisse anzeigen, die sich auf die Mediennutzung beziehen. Zu diesen Ereignissen gehören:

• Überwachungsereignisse: Zeigt die Anzahl der Überwachungsereignisse an, die auftreten, wenn externe Medien verbunden sind.
• Richtlinienereignisse: Zeigt die Anzahl von Richtlinienereignissen an, die auftreten, wenn eine Gerätesteuerungsrichtlinie ausgelöst wird.

Hinweis

Das Überwachungsereignis zum Nachverfolgen der Mediennutzung ist standardmäßig für Geräte aktiviert, die in Microsoft Defender for Endpoint integriert sind.

Grundlegendes zu Überwachungsereignissen

Zu den Überwachungsereignissen gehören:

• Ein- und Aufheben der Einbindung des USB-Laufwerks: Überwachungsereignisse, die beim Einbinden oder Aufheben der Bereitstellung eines USB-Laufwerks generiert werden.
• PnP: Plug & Play Überwachungsereignisse werden generiert, wenn Wechseldatenträger, Drucker oder Bluetooth-Medien verbunden sind.
• Zugriffssteuerung für Wechselmedien: Ereignisse werden generiert, wenn eine Richtlinie für die Zugriffssteuerung für Wechselmedien ausgelöst wird. Dies kann "Audit", "Block" oder "Allow" sein.

Überwachen der Gerätesteuerungssicherheit

Die Gerätesteuerung in Defender für Endpunkt ermöglicht Sicherheitsadministratoren Tools, mit denen sie die Gerätesteuerungssicherheit ihrer organization über Berichte nachverfolgen können. Sie finden den Bericht zur Gerätesteuerung im Microsoft Defender-Portal (https://security.microsoft.com). Wechseln Sie zu Berichte>Endpunkte. Suchen Sie nach Gerätesteuerung Karte, und wählen Sie den Link aus, um den Bericht zu öffnen.

Im Dashboard Berichte zeigt die Karte Geräteschutz die Anzahl der Überwachungsereignisse an, die vom Medientyp in den letzten 180 Tagen generiert wurden. Unter Details anzeigen werden unformatierte Ereignisse der letzten 30 Tage aufgelistet.

Die Schaltfläche Details anzeigen zeigt weitere Mediennutzungsdaten auf der Berichtsseite Gerätesteuerung an.

Die Seite bietet eine Dashboard mit aggregierter Anzahl von Ereignissen pro Typ und einer Liste von Ereignissen und zeigt 500 Ereignisse pro Seite an. Wenn Sie jedoch Administrator sind (z. B. ein globaler Administrator oder Sicherheitsadministrator), können Sie nach unten scrollen, um weitere Ereignisse anzuzeigen und nach Zeitbereich, Medienklassenname und Geräte-ID filtern.

Wenn Sie ein Ereignis auswählen, wird ein Flyout mit weiteren Informationen angezeigt:

• Allgemeine Details: Datum, Aktionsmodus, die Richtlinie und Zugriff dieses Ereignisses.
• Medieninformationen: Medieninformationen umfassen Medienname, Klassenname, Klassen-GUID, Geräte-ID, Anbieter-ID, Seriennummer und Bustyp.
• Standortdetails: Gerätename, Benutzer und MDATP-Geräte-ID.

Wählen Sie die Schaltfläche Erweiterte Suche öffnen aus, um die Echtzeitaktivität für dieses Medium im organization anzuzeigen. Dies schließt eine eingebettete, vordefinierte Abfrage ein.

Um die Sicherheit des Geräts anzuzeigen, wählen Sie im Flyout die Schaltfläche Seite "Gerät öffnen " aus. Mit dieser Schaltfläche wird die Seite mit der Geräteentität geöffnet.

Melden von Verzögerungen

Es kann eine Verzögerung von bis zu sechs Stunden zwischen dem Zeitpunkt, zu dem eine Medienverbindung besteht, bis zu dem Zeitpunkt, zu dem das Ereignis im Karte oder in der Domänenliste widergespiegelt wird.

Hinweis

Wenn Sie Daten, z. B. eine Liste von Ereignissen, aus dem Gerätesteuerungsbericht nach Excel exportieren, werden bis zu 500 Ereignisse exportiert. Wenn Ihr organization jedoch Microsoft Sentinel verwendet, können Sie Defender für Endpunkt in Sentinel integrieren, sodass alle Incidents und Warnungen gestreamt werden. Weitere Informationen finden Sie unter Verbinden von Daten aus Microsoft Defender XDR mit Microsoft Sentinel.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.

Siehe auch

• Gerätesteuerung in Microsoft Defender for Endpoint
• Gerätesteuerung für macOS