Megosztás a következőn keresztül:


Eszközvezérlési események és információk megtekintése a Végponthoz készült Microsoft Defenderben

A Végponthoz készült Microsoft Defender eszközvezérlése segít megvédeni a szervezetet az esetleges adatvesztésekkel, kártevőkkel és egyéb kibertámadásokkal szemben azáltal, hogy lehetővé teszi vagy megakadályozza bizonyos eszközök csatlakoztatását a felhasználók számítógépeihez. A biztonsági csapat speciális veszélyforrás-kereséssel vagy az eszközvezérlési jelentés használatával tekintheti meg az eszközvezérlési eseményekre vonatkozó információkat.

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

A Microsoft Defender portál eléréséhez az előfizetésnek tartalmaznia kell a Microsoft 365 for E5 jelentéskészítési szolgáltatását.

A speciális veszélyforrás-kereséssel és az eszközvezérlési jelentéssel kapcsolatos további információkért válassza ki az egyes lapokat.

Speciális veszélyforrás-keresés

Érintett szolgáltatás:

Ha aktivál egy eszközvezérlési szabályzatot, az esemény speciális veszélyforrás-kereséssel jelenik meg, függetlenül attól, hogy azt a rendszer vagy a bejelentkezett felhasználó kezdeményezte. Ez a szakasz néhány példa lekérdezést tartalmaz, amelyet speciális veszélyforrás-kereséshez használhat.

1. példa: Lemez- és fájlrendszerszintű kényszerítés által aktivált cserélhető tárolási házirend

Amikor művelet RemovableStoragePolicyTriggered történik, a lemezre és a fájlrendszerszintű kényszerítésre vonatkozó eseményinformációk érhetők el.

Tipp

A speciális veszélyforrás-keresésben jelenleg eszközönként 300 esemény van naponta korlátozva az eseményekhez RemovableStoragePolicyTriggered . További adatok megtekintéséhez használja az eszközvezérlési jelentést.


//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.

Lásd még