הצגת אירועים ומידע של בקרת מכשיר Microsoft Defender עבור נקודת קצה
Microsoft Defender עבור נקודת קצה המכשיר מסייעת בהגנה על הארגון שלך מפני אובדן נתונים פוטנציאלי, תוכנות זדוניות או איומי סייבר אחרים בכך שהוא מאפשר או מונע חיבור של מכשירים מסוימים למחשבים של המשתמשים. באפשרותך להציג מידע אודות אירועי בקרת מכשירים עם ציד מתקדם או באמצעות דוח בקרת המכשיר.
כדי לגשת לפורטל Microsoft Defender, המנוי שלך חייב לכלול דיווח של Microsoft 365 for E5.
בחר כל כרטיסיה כדי לקבל מידע נוסף על ציד מתקדם ודוח בקרת המכשיר.
ציד מתקדם
חל על:
כאשר מופעלת מדיניות בקרת מכשיר, אירוע גלוי עם ציד מתקדם, בין אם הוא הופעל על-ידי המערכת או על-ידי המשתמש שנכנס. מקטע זה כולל כמה שאילתות לדוגמה שניתן להשתמש בהן בשלבי ציד מתקדמים.
דוגמה 1: מדיניות אחסון נשלף המופעלת על-ידי אכיפת ברמת מערכת הקבצים והדיסקים
כאשר מתרחשת RemovableStoragePolicyTriggered פעולה, פרטי אירוע אודות האכיפה ברמת המערכת של הדיסק והקובץ זמינים.
עצה
בשלב זה, בשלבי ציד מתקדמים, יש מגבלה של 300 אירועים לכל מכשיר ליום עבור RemovableStoragePolicyTriggered אירועים. השתמש בדוח בקרת המכשיר כדי להציג נתונים נוספים.
//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
דוגמה 2: אירוע של קובץ אחסון נשלף
כאשר מתרחשת פעולת RemovableStorageFileEvent, מידע אודות קובץ הראיות זמין הן להגנה על המדפסת והן עבור אחסון נשלף. להלן שאילתה לדוגמה שניתן להשתמש בה עם ציד מתקדם:
//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
למידע נוסף
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור