Jaa


Näytä laitteen hallintatapahtumat ja tiedot Microsoft Defender for Endpointissa

Microsoft Defender for Endpoint -laitteen ohjausobjekti auttaa suojaamaan organisaatiotasi mahdollisilta tietojen menetyksiltä, haittaohjelmilta tai muilta kyberuhilta sallimalla tai estämällä tiettyjen laitteiden liittämisen käyttäjien tietokoneisiin. Suojaustiimisi voi tarkastella tietoja laitteen hallintatapahtumista kehittyneellä metsästyksellä tai laitteen hallintaraportin avulla.

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Jotta voit käyttää Microsoft Defender -portaalia, tilauksesi on sisällettävä Microsoft 365 for E5 -raportointi.

Valitsemalla kunkin välilehden saat lisätietoja kehittyneestä metsästyksestä ja laitteen hallintaraportista.

Tarkennettu etsintä

Koskee seuraavia:

Kun laitteen ohjausobjektikäytäntö käynnistetään, tapahtuma näkyy kehittyneellä metsästyksellä riippumatta siitä, onko sen käynnistänyt järjestelmä vai kirjautunut käyttäjä. Tässä osiossa on joitakin esimerkkikyselyitä, joita voit käyttää kehittyneessä metsästyksessä.

Esimerkki 1: Levy- ja tiedostojärjestelmätason pakottamisen käynnistämä siirrettävän tallennusvälineen käytäntö

RemovableStoragePolicyTriggered Kun toiminto suoritetaan, käytettävissä on levy- ja tiedostojärjestelmätason pakottamista koskevia tapahtumatietoja.

Vihje

Tällä hetkellä kehittyneessä metsästyksessä tapahtumarajoitus on 300 tapahtumaa päivässä laitetta kohti RemovableStoragePolicyTriggered . Laitteen hallintaraportin avulla voit tarkastella lisätietoja.


//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.

Tutustu myös seuraaviin ohjeartikkeleihin: