Partage via


Afficher les événements et les informations de contrôle d’appareil dans Microsoft Defender pour point de terminaison

Le contrôle d’appareil Microsoft Defender pour point de terminaison permet de protéger votre organisation contre les pertes de données potentielles, les programmes malveillants ou d’autres cybermenaces en autorisant ou en empêchant la connexion de certains appareils aux ordinateurs des utilisateurs. Votre équipe de sécurité peut afficher des informations sur les événements de contrôle d’appareil avec la chasse avancée ou à l’aide du rapport de contrôle d’appareil.

Importante

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Pour accéder au portail Microsoft Defender, votre abonnement doit inclure microsoft 365 pour les rapports E5.

Sélectionnez chaque onglet pour en savoir plus sur la chasse avancée et le rapport de contrôle d’appareil.

Recherche avancée de menaces

S’applique à :

Lorsqu’une stratégie de contrôle d’appareil est déclenchée, un événement est visible avec une chasse avancée, qu’il ait été initié par le système ou par l’utilisateur qui s’est connecté. Cette section inclut des exemples de requêtes que vous pouvez utiliser pour la chasse avancée.

Exemple 1 : Stratégie de stockage amovible déclenchée par l’application au niveau du disque et du système de fichiers

Lorsqu’une RemovableStoragePolicyTriggered action se produit, des informations d’événement sur l’application au niveau du disque et du système de fichiers sont disponibles.

Conseil

Actuellement, dans la chasse avancée, il existe une limite de 300 événements par appareil et par jour pour RemovableStoragePolicyTriggered les événements. Utilisez le rapport de contrôle d’appareil pour afficher des données supplémentaires.


//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.

Voir aussi