Microsoft Defender for Endpointでデバイスコントロールのイベントと情報を表示する

Microsoft Defender for Endpointデバイス制御は、特定のデバイスをユーザーのコンピューターに接続できるようにすることで、潜在的なデータ損失、マルウェア、またはその他のサイバー脅威からorganizationを保護するのに役立ちます。 高度なハンティングを使用するか、デバイス コントロール レポートを使用して、デバイス コントロール イベントに関する情報を表示できます。

Microsoft Defender ポータルにアクセスするには、サブスクリプションに Microsoft 365 for E5 レポートを含める必要があります。

各タブを選択して、高度なハンティングとデバイスコントロールレポートの詳細を確認します。

高度な追及

高度な追及

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

デバイス制御ポリシーがトリガーされると、システムによって開始されたか、サインインしたユーザーによって開始されたかに関係なく、高度なハンティングでイベントが表示されます。 このセクションには、高度なハンティングで使用できるクエリの例がいくつか含まれています。

例 1: ディスクとファイル システム レベルの適用によってトリガーされるリムーバブル 記憶域ポリシー

アクションが RemovableStoragePolicyTriggered 発生すると、ディスクとファイル システム レベルの適用に関するイベント情報を使用できます。

ヒント

現在、高度なハンティングでは、イベントのデバイスあたり 1 日あたり 300 イベントの RemovableStoragePolicyTriggered 制限があります。 デバイス コントロール レポートを使用して、追加のデータを表示します。

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

例 2: リムーバブル 記憶域ファイル イベント

RemovableStorageFileEvent アクションが発生すると、証拠ファイルに関する情報は、プリンター保護とリムーバブル 記憶域の両方で使用できます。 高度なハンティングで使用できるクエリの例を次に示します。

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

デバイスコントロールレポート

デバイスコントロールレポート

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

デバイス コントロール レポートを使用すると、メディアの使用状況に関連するイベントを表示できます。 このようなイベントには、次のものが含まれます。

• 監査イベント: 外部メディアが接続されているときに発生する監査イベントの数を示します。
• ポリシー イベント: デバイス制御ポリシーがトリガーされたときに発生するポリシー イベントの数を示します。

注:

メディアの使用状況を追跡するための監査イベントは、Microsoft Defender for Endpointにオンボードされたデバイスに対して既定で有効になっています。

監査イベントについて

監査イベントには、次のものが含まれます。

• USB ドライブのマウントとマウント解除: USB ドライブがマウントまたはマウント解除されたときに生成される監査イベント。
• PnP: プラグ アンド プレイ監査イベントは、リムーバブル ストレージ、プリンター、または Bluetooth メディアが接続されている場合に生成されます。
• リムーバブル ストレージ アクセス制御: リムーバブル 記憶域アクセス制御ポリシーがトリガーされると、イベントが生成されます。 監査、ブロック、または許可を指定できます。

デバイス制御のセキュリティを監視する

Defender for Endpoint のデバイス制御を使用すると、セキュリティ管理者は、レポートを通じてorganizationのデバイス制御のセキュリティを追跡できるツールを使用できます。 デバイス制御レポートは、Microsoft Defender ポータル (https://security.microsoft.com) で確認できます。 [レポート エンドポイント]> に移動します。 [デバイス コントロール] カードを見つけて、リンクを選択してレポートを開きます。

[レポート] ダッシュボードの [デバイス保護] カードには、過去 180 日間にメディアの種類によって生成された監査イベントの数が表示されます。 [ 詳細の表示] に、過去 30 日間の未加工イベントが一覧表示されます。

[ 詳細の表示] ボタンには、[ デバイスコントロール] レポート ページに、より多くのメディア使用状況データが表示されます。

このページには、種類ごとのイベントの集計数とイベントの一覧が表示されたダッシュボードが用意されており、1 ページあたり 500 件のイベントが表示されますが、管理者 (グローバル管理者やセキュリティ管理者など) の場合は、下にスクロールしてさらにイベントを表示し、時間範囲、メディア クラス名、デバイス ID でフィルター処理できます。

イベントを選択すると、詳細情報を示すポップアップが表示されます。

• 一般的な詳細: 日付、アクション モード、ポリシー、およびこのイベントのアクセス。
• メディア情報: メディア情報には、メディア名、クラス名、クラス GUID、デバイス ID、ベンダー ID、シリアル番号、Bus の種類が含まれます。
• 場所の詳細: デバイス名、ユーザー、MDATP デバイス ID。

organization全体でこのメディアのリアルタイム アクティビティを表示するには、[詳細検索を開く] ボタンを選択します。 これには、埋め込まれた定義済みのクエリが含まれます。

デバイスのセキュリティを確認するには、ポップアップの [ デバイス ページを開く ] ボタンを選択します。 このボタンをクリックすると、デバイス エンティティ ページが開きます。

レポートの遅延

メディア接続が発生するまで、イベントがカードまたはドメイン リストに反映されるまでに最大 6 時間の遅延が発生する可能性があります。

注:

イベントの一覧などのデータをデバイス コントロール レポートから Excel にエクスポートすると、最大 500 個のイベントがエクスポートされます。 ただし、organizationが Microsoft Sentinel を使用している場合は、Defender for Endpoint と Sentinel を統合して、すべてのインシデントとアラートがストリーミングされるようにすることができます。 詳細については、「Microsoft Defender XDRから Microsoft Sentinel にデータを接続する」を参照してください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。

関連項目

• Microsoft Defender for Endpointのデバイス制御
• macOS 用デバイス コントロール