Eszközvezérlési események és információk megtekintése a Végponthoz készült Microsoft Defender
Végponthoz készült Microsoft Defender eszközvezérlés segít megvédeni a szervezetet a lehetséges adatvesztésekkel, kártevőkkel és egyéb kibertámadásokkal szemben azáltal, hogy lehetővé teszi vagy megakadályozza bizonyos eszközök felhasználói számítógépekhez való csatlakoztatását. Az eszközvezérlési eseményekre vonatkozó információkat speciális veszélyforrás-kereséssel vagy az eszközvezérlési jelentés használatával tekintheti meg.
A Microsoft Defender portál eléréséhez az előfizetésnek tartalmaznia kell a Microsoft 365 for E5 jelentéskészítési szolgáltatását.
A speciális veszélyforrás-kereséssel és az eszközvezérlési jelentéssel kapcsolatos további információkért válassza ki az egyes lapokat.
Speciális veszélyforrás-keresés
Érintett szolgáltatás:
Ha aktivál egy eszközvezérlési szabályzatot, az esemény speciális veszélyforrás-kereséssel jelenik meg, függetlenül attól, hogy azt a rendszer vagy a bejelentkezett felhasználó kezdeményezte. Ez a szakasz néhány példa lekérdezést tartalmaz, amelyet speciális veszélyforrás-kereséshez használhat.
1. példa: Lemez- és fájlrendszerszintű kényszerítés által aktivált cserélhető tárolási házirend
Amikor művelet RemovableStoragePolicyTriggered
történik, a lemezre és a fájlrendszerszintű kényszerítésre vonatkozó eseményinformációk érhetők el.
Tipp
A speciális veszélyforrás-keresésben jelenleg eszközönként 300 esemény van naponta korlátozva az eseményekhez RemovableStoragePolicyTriggered
. További adatok megtekintéséhez használja az eszközvezérlési jelentést.
//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
2. példa: Cserélhető tárolófájl eseménye
RemovableStorageFileEvent művelet esetén a bizonyítékfájlra vonatkozó információk a nyomtatóvédelem és a cserélhető tárolók számára is elérhetők. Íme egy példa a speciális veszélyforrás-kereséssel használható lekérdezésre:
//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Lásd még
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: