Visualización de eventos e información de control de dispositivos en Microsoft Defender para punto de conexión

Microsoft Defender para punto de conexión control de dispositivos ayuda a proteger su organización de posibles pérdidas de datos, malware u otras ciberamenazas al permitir o impedir que determinados dispositivos se conecten a los equipos de los usuarios. Puede ver información sobre eventos de control de dispositivos con búsqueda avanzada o mediante el informe de control de dispositivos.

Para acceder al portal de Microsoft Defender, la suscripción debe incluir informes de Microsoft 365 para E5.

Seleccione cada pestaña para obtener más información sobre la búsqueda avanzada y el informe de control de dispositivos.

Búsqueda avanzada de amenazas

Búsqueda avanzada de amenazas

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2

Cuando se desencadena una directiva de control de dispositivo, un evento es visible con la búsqueda avanzada, independientemente de si lo inició el sistema o el usuario que inició sesión. En esta sección se incluyen algunas consultas de ejemplo que puede usar en la búsqueda avanzada.

Ejemplo 1: Directiva de almacenamiento extraíble desencadenada por la aplicación de nivel de disco y sistema de archivos

Cuando se produce una RemovableStoragePolicyTriggered acción, está disponible información de eventos sobre el cumplimiento de nivel de sistema de archivos y disco.

Sugerencia

Actualmente, en la búsqueda avanzada, hay un límite de 300 eventos por dispositivo y día para RemovableStoragePolicyTriggered eventos. Use el informe de control de dispositivo para ver datos adicionales.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Ejemplo 2: evento de archivo de almacenamiento extraíble

Cuando se produce una acción RemovableStorageFileEvent, la información sobre el archivo de evidencia está disponible tanto para la protección de impresora como para el almacenamiento extraíble. Esta es una consulta de ejemplo que puede usar con la búsqueda avanzada:

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Informe de control de dispositivo

Informe de control de dispositivo

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender para Empresas

Con el informe de control de dispositivos, puede ver eventos relacionados con el uso de medios. Estos eventos incluyen:

• Eventos de auditoría: Muestra el número de eventos de auditoría que se producen cuando se conecta un medio externo.
• Eventos de directiva: Muestra el número de eventos de directiva que se producen cuando se desencadena una directiva de control de dispositivo.

Nota:

El evento de auditoría para realizar un seguimiento del uso de medios está habilitado de forma predeterminada para los dispositivos incorporados a Microsoft Defender para punto de conexión.

Descripción de los eventos de auditoría

Los eventos de auditoría incluyen:

• Montaje y desmontaje de la unidad USB: Eventos de auditoría que se generan cuando se monta o desmonta una unidad USB.
• PnP: Plug and Play eventos de auditoría se generan cuando se conecta el almacenamiento extraíble, una impresora o un medio Bluetooth.
• Control de acceso de almacenamiento extraíble: Los eventos se generan cuando se desencadena una directiva de control de acceso de almacenamiento extraíble. Puede ser Auditar, Bloquear o Permitir.

Supervisión de la seguridad del control de dispositivos

El control de dispositivos en Defender para punto de conexión proporciona a los administradores de seguridad herramientas que les permiten realizar un seguimiento de la seguridad del control de dispositivos de su organización a través de informes. Puede encontrar el informe de control de dispositivos en el portal de Microsoft Defender (https://security.microsoft.com). Vaya a Puntosde conexión deinformes>. Busque Tarjeta de control de dispositivo y seleccione el vínculo para abrir el informe.

En el panel Informes , la tarjeta Protección de dispositivos muestra el número de eventos de auditoría generados por el tipo de medio durante los últimos 180 días. En Ver detalles, se muestran los eventos sin procesar de los últimos 30 días.

El botón Ver detalles muestra más datos de uso multimedia en la página Informe de control de dispositivos.

La página proporciona un panel con un número agregado de eventos por tipo y una lista de eventos y muestra 500 eventos por página, pero si es administrador (por ejemplo, administrador global o administrador de seguridad), puede desplazarse hacia abajo para ver más eventos y puede filtrar por intervalo de tiempo, nombre de clase multimedia e identificador de dispositivo.

Al seleccionar un evento, aparece un control flotante que muestra más información:

• Detalles generales: Fecha, modo de acción, directiva y acceso de este evento.
• Información multimedia: La información multimedia incluye el nombre multimedia, el nombre de clase, el GUID de clase, el identificador de dispositivo, el identificador de proveedor, el número de serie y el tipo de bus.
• Detalles de ubicación: Nombre del dispositivo, usuario e identificador de dispositivo MDATP.

Para ver la actividad en tiempo real de este medio en toda la organización, seleccione el botón Abrir búsqueda avanzada . Esto incluye una consulta incrustada y predefinida.

Para ver la seguridad del dispositivo, seleccione el botón Abrir página del dispositivo en el control flotante. Este botón abre la página de entidad del dispositivo.

Notificación de retrasos

Puede haber un retraso de hasta seis horas desde el momento en que se produce una conexión multimedia hasta el momento en que el evento se refleja en la tarjeta o en la lista de dominios.

Nota:

Al exportar datos, como una lista de eventos, desde el informe de control de dispositivo a Excel, se exportan hasta 500 eventos. Sin embargo, si su organización usa Microsoft Sentinel, puede integrar Defender para punto de conexión con Sentinel para que se transmita todos los incidentes y alertas. Para obtener más información, consulte Conexión de datos de Microsoft Defender XDR a Microsoft Sentinel.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.

Vea también

• Control de dispositivo en Microsoft Defender para punto de conexión
• Control de dispositivos para macOS