Eszközvezérlési események és információk megtekintése a Végponthoz készült Microsoft Defender

Végponthoz készült Microsoft Defender eszközvezérlés segít megvédeni a szervezetet a lehetséges adatvesztésekkel, kártevőkkel és egyéb kibertámadásokkal szemben azáltal, hogy lehetővé teszi vagy megakadályozza bizonyos eszközök felhasználói számítógépekhez való csatlakoztatását. Az eszközvezérlési eseményekre vonatkozó információkat speciális veszélyforrás-kereséssel vagy az eszközvezérlési jelentés használatával tekintheti meg.

A Microsoft Defender portál eléréséhez az előfizetésnek tartalmaznia kell a Microsoft 365 for E5 jelentéskészítési szolgáltatását.

A speciális veszélyforrás-kereséssel és az eszközvezérlési jelentéssel kapcsolatos további információkért válassza ki az egyes lapokat.

Speciális veszélyforrás-keresés

Speciális veszélyforrás-keresés

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag

Ha aktivál egy eszközvezérlési szabályzatot, az esemény speciális veszélyforrás-kereséssel jelenik meg, függetlenül attól, hogy azt a rendszer vagy a bejelentkezett felhasználó kezdeményezte. Ez a szakasz néhány példa lekérdezést tartalmaz, amelyet speciális veszélyforrás-kereséshez használhat.

1. példa: Lemez- és fájlrendszerszintű kényszerítés által aktivált cserélhető tárolási házirend

Amikor művelet RemovableStoragePolicyTriggered történik, a lemezre és a fájlrendszerszintű kényszerítésre vonatkozó eseményinformációk érhetők el.

Tipp

A speciális veszélyforrás-keresésben jelenleg eszközönként 300 esemény van naponta korlátozva az eseményekhez RemovableStoragePolicyTriggered . További adatok megtekintéséhez használja az eszközvezérlési jelentést.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

2. példa: Cserélhető tárolófájl eseménye

RemovableStorageFileEvent művelet esetén a bizonyítékfájlra vonatkozó információk a nyomtatóvédelem és a cserélhető tárolók számára is elérhetők. Íme egy példa a speciális veszélyforrás-kereséssel használható lekérdezésre:

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Eszközvezérlési jelentés

Eszközvezérlési jelentés

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender Vállalati verzió

Az eszközvezérlési jelentéssel megtekintheti a médiahasználattal kapcsolatos eseményeket. Ilyen események például a következők:

• Naplózási események: A külső adathordozók csatlakoztatásakor előforduló naplózási események számát jeleníti meg.
• Szabályzatesemények: Az eszközvezérlési szabályzat aktiválásakor előforduló szabályzatesemények számát jeleníti meg.

Megjegyzés:

A médiahasználat nyomon követésére szolgáló naplózási esemény alapértelmezés szerint engedélyezve van a Végponthoz készült Microsoft Defender előkészített eszközök esetében.

A naplózási események ismertetése

A naplózási események a következők:

• USB-meghajtó csatlakoztatása és leválasztása: Az USB-meghajtó csatlakoztatásakor vagy leválasztásakor keletkező események naplózása.
• PnP: Plug and Play naplózási események jönnek létre cserélhető tároló, nyomtató vagy Bluetooth-adathordozó csatlakoztatásakor.
• Cserélhető tároló hozzáférés-vezérlése: A cserélhető tárterület hozzáférés-vezérlési szabályzatának aktiválásakor események jönnek létre. Ez lehet Naplózás, Letiltás vagy Engedélyezés.

Eszközvezérlés biztonságának monitorozása

A Végponthoz készült Defender eszközvezérlése olyan eszközökkel teszi lehetővé a biztonsági rendszergazdák számára, hogy jelentéseken keresztül nyomon követhessék a szervezet eszközvezérlésének biztonságát. Az eszközvezérlési jelentést a Microsoft Defender portálon (https://security.microsoft.com) találja. Lépjen a Jelentések>végpontjai elemre. Keresse meg az Eszközvezérlő kártyát, és kattintson a hivatkozásra a jelentés megnyitásához.

A Jelentésekirányítópulton az Eszközvédelem kártya az elmúlt 180 napban médiatípus által létrehozott naplózási események számát jeleníti meg. A Részletek megtekintése területen az elmúlt 30 nap nyers eseményei jelennek meg.

A Részletek megtekintése gomb további médiahasználati adatokat jelenít meg az Eszközvezérlés jelentésoldalon .

Az oldal egy irányítópultot biztosít, amely típusonként összesített számú eseményt és eseménylistát tartalmaz, és oldalanként 500 eseményt jelenít meg, de ha Ön rendszergazda (például globális rendszergazda vagy biztonsági rendszergazda), lefelé görgetve további eseményeket jeleníthet meg, és szűrhet az időtartományra, a médiaosztály nevére és az eszközazonosítóra.

Amikor kiválaszt egy eseményt, megjelenik egy úszó panel, amely további információkat jelenít meg:

• Általános részletek: Az esemény dátuma, műveleti módja, szabályzata és hozzáférése.
• Médiaadatok: A médiaadatok közé tartozik az adathordozó neve, az osztály neve, az osztály GUID azonosítója, az eszközazonosító, a szállító azonosítója, a sorozatszám és a busz típusa.
• Helyadatok: Eszköz neve, felhasználója és MDATP-eszközazonosítója.

Ha a szervezeten belül szeretné megtekinteni a médiatartalmak valós idejű tevékenységeit, válassza a Speciális veszélyforrás-keresés megnyitása gombot. Ez magában foglal egy beágyazott, előre definiált lekérdezést.

Az eszköz biztonságának megtekintéséhez válassza az Eszköz megnyitása gombot az úszó panelen. Ez a gomb megnyitja az eszköz entitásoldalát.

Késések jelentése

A médiakapcsolatok időpontjától a kártyán vagy a tartománylistában való megjelenítéseig akár hat óra is eltarthat.

Megjegyzés:

Ha adatokat, például események listáját exportál az eszközvezérlő jelentésből az Excelbe, legfeljebb 500 esemény lesz exportálva. Ha azonban a szervezete a Microsoft Sentinelt használja, integrálhatja a Végponthoz készült Defendert a Sentinellel, hogy az összes incidens és riasztás streamelhető legyen. További információ: Adatok csatlakoztatása Microsoft Defender XDR a Microsoft Sentinelhez.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.

Lásd még

• Eszközvezérlés a Végponthoz készült Microsoft Defender
• Eszközvezérlés macOS-hez