Afficher les événements et les informations de contrôle d’appareil dans Microsoft Defender pour point de terminaison
Microsoft Defender pour point de terminaison contrôle d’appareil permet de protéger vos organization contre les pertes de données potentielles, les programmes malveillants ou d’autres cybermenaces en autorisant ou en empêchant la connexion de certains appareils aux ordinateurs des utilisateurs. Vous pouvez afficher des informations sur les événements de contrôle d’appareil avec la chasse avancée ou à l’aide du rapport de contrôle d’appareil.
Pour accéder au portail Microsoft Defender, votre abonnement doit inclure microsoft 365 pour les rapports E5.
Sélectionnez chaque onglet pour en savoir plus sur la chasse avancée et le rapport de contrôle d’appareil.
Recherche avancée de menaces
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
Lorsqu’une stratégie de contrôle d’appareil est déclenchée, un événement est visible avec une chasse avancée, qu’il ait été initié par le système ou par l’utilisateur qui s’est connecté. Cette section inclut des exemples de requêtes que vous pouvez utiliser pour la chasse avancée.
Exemple 1 : Stratégie de stockage amovible déclenchée par l’application au niveau du disque et du système de fichiers
Lorsqu’une RemovableStoragePolicyTriggered
action se produit, des informations d’événement sur l’application au niveau du disque et du système de fichiers sont disponibles.
Conseil
Actuellement, dans la chasse avancée, il existe une limite de 300 événements par appareil et par jour pour RemovableStoragePolicyTriggered
les événements. Utilisez le rapport de contrôle d’appareil pour afficher des données supplémentaires.
//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
Exemple 2 : événement de fichier de stockage amovible
Lorsqu’une action RemovableStorageFileEvent se produit, des informations sur le fichier de preuve sont disponibles pour la protection de l’imprimante et le stockage amovible. Voici un exemple de requête que vous pouvez utiliser avec la chasse avancée :
//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Voir aussi
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez :Soumettre et afficher des commentaires pour