Eszközvezérlési események és információk megtekintése a Végponthoz készült Microsoft Defenderben

A Végponthoz készült Microsoft Defender eszközvezérlése segít megvédeni a szervezetet az esetleges adatvesztésekkel, kártevőkkel és egyéb kibertámadásokkal szemben azáltal, hogy lehetővé teszi vagy megakadályozza bizonyos eszközök csatlakoztatását a felhasználók számítógépeihez. A biztonsági csapat speciális veszélyforrás-kereséssel vagy az eszközvezérlési jelentés használatával tekintheti meg az eszközvezérlési eseményekre vonatkozó információkat.

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

A Microsoft Defender portál eléréséhez az előfizetésnek tartalmaznia kell a Microsoft 365 for E5 jelentéskészítési szolgáltatását.

A speciális veszélyforrás-kereséssel és az eszközvezérlési jelentéssel kapcsolatos további információkért válassza ki az egyes lapokat.

Speciális veszélyforrás-keresés

Speciális veszélyforrás-keresés

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag

Ha aktivál egy eszközvezérlési szabályzatot, az esemény speciális veszélyforrás-kereséssel jelenik meg, függetlenül attól, hogy azt a rendszer vagy a bejelentkezett felhasználó kezdeményezte. Ez a szakasz néhány példa lekérdezést tartalmaz, amelyet speciális veszélyforrás-kereséshez használhat.

1. példa: Lemez- és fájlrendszerszintű kényszerítés által aktivált cserélhető tárolási házirend

Amikor művelet RemovableStoragePolicyTriggered történik, a lemezre és a fájlrendszerszintű kényszerítésre vonatkozó eseményinformációk érhetők el.

Tipp

A speciális veszélyforrás-keresésben jelenleg eszközönként 300 esemény van naponta korlátozva az eseményekhez RemovableStoragePolicyTriggered . További adatok megtekintéséhez használja az eszközvezérlési jelentést.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Eszközvezérlési jelentés

Eszközvezérlési jelentés

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender Vállalati verzió

Az eszközvezérlési jelentéssel megtekintheti a médiahasználattal kapcsolatos eseményeket. Ilyen események például a következők:

• Naplózási események: A külső adathordozók csatlakoztatásakor előforduló naplózási események számát jeleníti meg.
• Szabályzatesemények: Az eszközvezérlési szabályzat aktiválásakor előforduló szabályzatesemények számát jeleníti meg.

Megjegyzés:

A végponthoz készült Microsoft Defenderbe előkészített eszközök esetében alapértelmezés szerint engedélyezve van a médiahasználat nyomon követésére szolgáló naplózási esemény.

A naplózási események ismertetése

A naplózási események a következők:

• USB-meghajtó csatlakoztatása és leválasztása: Az USB-meghajtó csatlakoztatásakor vagy leválasztásakor keletkező események naplózása.
• Pnp: A Plug and Play naplózási eseményei cserélhető tároló, nyomtató vagy Bluetooth-adathordozó csatlakoztatásakor jönnek létre.
• Cserélhető tároló hozzáférés-vezérlése: A cserélhető tárterület hozzáférés-vezérlési szabályzatának aktiválásakor események jönnek létre. Ez lehet Naplózás, Letiltás vagy Engedélyezés.

Eszközvezérlés biztonságának monitorozása

A Végponthoz készült Defender eszközvezérlése olyan eszközökkel teszi lehetővé a biztonsági rendszergazdák számára, hogy jelentéseken keresztül nyomon követhessék a szervezet eszközvezérlésének biztonságát. Az eszközvezérlési jelentést a Microsoft Defender portálon (https://security.microsoft.com) találja. Lépjen a Jelentések>végpontjai elemre. Keresse meg az Eszközvezérlő kártyát, és kattintson a hivatkozásra a jelentés megnyitásához.

A Jelentésekirányítópulton az Eszközvédelem kártya az elmúlt 180 napban médiatípus által létrehozott naplózási események számát jeleníti meg. A Részletek megtekintése területen az elmúlt 30 nap nyers eseményei jelennek meg.

A Részletek megtekintése gomb további médiahasználati adatokat jelenít meg az Eszközvezérlés jelentésoldalon .

Az oldal egy irányítópultot biztosít, amely típusonként összesített számú eseményt és eseménylistát tartalmaz, és oldalanként 500 eseményt jelenít meg, de ha Ön rendszergazda (például biztonsági rendszergazda), lefelé görgetve további eseményeket jeleníthet meg, és szűrhet az időtartományra, a médiaosztály nevére és az eszközazonosítóra.

Amikor kiválaszt egy eseményt, megjelenik egy úszó panel, amely további információkat jelenít meg:

• Általános részletek: Az esemény dátuma, műveleti módja, szabályzata és hozzáférése.
• Médiaadatok: A médiaadatok közé tartozik az adathordozó neve, az osztály neve, az osztály GUID azonosítója, az eszközazonosító, a szállító azonosítója, a sorozatszám és a busz típusa.
• Helyadatok: Eszköz neve, felhasználója és MDATP-eszközazonosítója.

Ha a szervezeten belül szeretné megtekinteni a médiatartalmak valós idejű tevékenységeit, válassza a Speciális veszélyforrás-keresés megnyitása gombot. Ez magában foglal egy beágyazott, előre definiált lekérdezést.

Az eszköz biztonságának megtekintéséhez válassza az Eszköz megnyitása gombot az úszó panelen. Ez a gomb megnyitja az eszköz entitásoldalát.

Késések jelentése

A médiakapcsolatok időpontjától a kártyán vagy a tartománylistában való megjelenítéseig akár hat óra is eltarthat.

Megjegyzés:

Ha adatokat, például események listáját exportál az eszközvezérlő jelentésből az Excelbe, legfeljebb 500 esemény lesz exportálva. Ha azonban a szervezete a Microsoft Sentinelt használja, integrálhatja a Végponthoz készült Defendert a Sentinellel, hogy az összes incidens és riasztás streamelhető legyen. További információ: Adatok csatlakoztatása a Microsoft Defender XDR-ből a Microsoft Sentinelhez.

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.

Lásd még

• Eszközvezérlés a Végponthoz készült Microsoft Defenderben
• Eszközvezérlés macOS-hez