הצגת אירועים ומידע של בקרת מכשיר ב- Microsoft Defender עבור נקודת קצה

Microsoft Defender עבור בקרת מכשיר נקודת קצה עוזר להגן על הארגון שלך מפני אובדן נתונים פוטנציאלי, תוכנות זדוניות או איומי סייבר אחרים על-ידי מתן אפשרות או מניעה של חיבור של מכשירים מסוימים למחשבים של משתמשים. צוות האבטחה שלך יכול להציג מידע אודות אירועי בקרת מכשירים עם ציד מתקדם או באמצעות דוח בקרת המכשיר.

חשוב

Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. פעולה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

כדי לגשת לפורטל Microsoft Defender, המנוי שלך חייב לכלול דיווח של Microsoft 365 for E5.

בחר כל כרטיסיה כדי לקבל מידע נוסף על ציד מתקדם ודוח בקרת המכשיר.

ציד מתקדם

ציד מתקדם

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה

כאשר מופעלת מדיניות בקרת מכשיר, אירוע גלוי עם ציד מתקדם, בין אם הוא הופעל על-ידי המערכת או על-ידי המשתמש שנכנס. מקטע זה כולל כמה שאילתות לדוגמה שניתן להשתמש בהן בשלבי ציד מתקדמים.

דוגמה 1: מדיניות אחסון נשלף המופעלת על-ידי אכיפת ברמת מערכת הקבצים והדיסקים

כאשר מתרחשת RemovableStoragePolicyTriggered פעולה, פרטי אירוע אודות האכיפה ברמת המערכת של הדיסק והקובץ זמינים.

עצה

בשלב זה, בשלבי ציד מתקדמים, יש מגבלה של 300 אירועים לכל מכשיר ליום עבור RemovableStoragePolicyTriggered אירועים. השתמש בדוח בקרת המכשיר כדי להציג נתונים נוספים.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

דוח בקרת מכשירים

דוח בקרת מכשירים

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender for Business

באמצעות דוח בקרת המכשיר, באפשרותך להציג אירועים הקשורים לשימוש במדיה. אירועים אלה כוללים:

• אירועי ביקורת: מציג את מספר אירועי הביקורת המתרחשים כאשר מדיה חיצונית מחוברת.
• אירועי מדיניות: מציג את מספר אירועי המדיניות המתרחשים כאשר מופעלת מדיניות בקרת מכשיר.

הערה

אירוע הביקורת למעקב אחר שימוש במדיה מופעל כברירת מחדל עבור מכשירים המחוברים ל- Microsoft Defender for Endpoint.

הבנת אירועי הביקורת

אירועי הביקורת כוללים:

• טעינת כונן USB וביטול טעינה: אירועי ביקורת הנוצרים בעת טעינה או ביטול טעינה של כונן USB.
• נקודת גישה: אירועי ביקורת של הכנס-הפעל נוצרים כאשר אחסון נשלף, מדפסת או מדיית Bluetooth מחוברים.
• בקרת גישה לאחסון נשלף: אירועים נוצרים כאשר מופעלת מדיניות בקרת גישה לאחסון נשלף. הוא יכול להיות ביקורת, חסימה או אפשר.

ניטור אבטחת בקרת מכשירים

בקרת מכשירים ב- Defender for Endpoint מעצימה מנהלי אבטחה באמצעות כלים המאפשרים להם לעקוב אחר אבטחת המכשיר של הארגון שלהם באמצעות דוחות. תוכל למצוא את דוח בקרת המכשיר בפורטל Microsoft Defender (https://security.microsoft.com). עבור אל נקודות>קצה של דוחות. חפש את כרטיס הבקרה של המכשיר ובחר את הקישור כדי לפתוח את הדוח.

בלוח המחוונים דוחות, הכרטיס הגנה על מכשיר מציג את מספר אירועי הביקורת שנוצרו על-ידי סוג מדיה, במהלך 180 הימים האחרונים. תחת הצג פרטים, אירועים גולמיים ב- 30 הימים האחרונים מפורטים.

לחצן הצג פרטים מציג נתוני שימוש במדיה נוספים בדף דוח בקרת מכשירים .

הדף מספק לוח מחוונים עם מספר מצטבר של אירועים לכל סוג ורשימת אירועים ומציג 500 אירועים בכל דף, אך אם אתה מנהל מערכת (כגון מנהל אבטחה), באפשרותך לגלול למטה כדי לראות אירועים נוספים ולסנן לפי טווח זמן, שם מחלקת מדיה ומזהה מכשיר.

בעת בחירת אירוע, מופיע תפריט נשלף המציג מידע נוסף:

• פרטים כלליים: תאריך, מצב פעולה, המדיניות וגישה של אירוע זה.
• פרטי מדיה: פרטי מדיה כוללים שם מדיה, שם מחלקה, GUID של מחלקה, מזהה מכשיר, מזהה ספק, מספר סידורי וסוג אפיק.
• פרטי מיקום: שם המכשיר, מזהה המשתמש ומזהה המכשיר MDATP.

כדי לראות פעילות בזמן אמת עבור מדיה זו ברחבי הארגון, בחר בלחצן פתח ציד מתקדם. הדבר כולל שאילתה מוטבעת מוגדרת מראש.

כדי לראות את אבטחת המכשיר, בחר בלחצן פתח דף מכשיר בתפריט הנשלף. לחצן זה פותח את דף ישות המכשיר.

עיכובים בדיווח

ייתכן שקיים עיכוב של עד שש שעות מהשעה שבה מתרחש חיבור מדיה לזמן שבו האירוע משתקף בכרטיס או ברשימת התחומים.

הערה

בעת ייצוא נתונים, כגון רשימת אירועים, מדוח בקרת המכשיר ל- Excel, מיוצאים עד 500 אירועים. עם זאת, אם הארגון שלך משתמש ב- Microsoft Sentinel, באפשרותך לשלב את Defender for Endpoint עם Sentinel כך שכל האירועים וההתראות יוזרמו. לקבלת מידע נוסף, ראה חיבור נתונים מ- Microsoft Defender XDR ל- Microsoft Sentinel.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.

למידע נוסף

• בקרת מכשיר ב- Microsoft Defender עבור נקודת קצה
• בקרת מכשיר עבור macOS