다음을 통해 공유


엔드포인트용 Microsoft Defender에서 디바이스 제어 이벤트 및 정보 보기

엔드포인트용 Microsoft Defender 디바이스 제어는 특정 디바이스가 사용자의 컴퓨터에 연결되도록 허용하거나 방지하여 잠재적인 데이터 손실, 맬웨어 또는 기타 사이버 위협으로부터 조직을 보호하는 데 도움이 됩니다. 보안 팀은 고급 헌팅을 사용하거나 디바이스 제어 보고서를 사용하여 디바이스 제어 이벤트에 대한 정보를 볼 수 있습니다.

중요

사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한 있는 역할입니다.

Microsoft Defender 포털에 액세스하려면 구독에 E5용 Microsoft 365 보고가 포함되어야 합니다.

고급 헌팅 및 디바이스 제어 보고서에 대해 자세히 알아보려면 각 탭을 선택합니다.

고급 헌팅

적용 대상:

디바이스 제어 정책이 트리거되면 시스템에서 시작했는지 또는 로그인한 사용자가 시작했는지 여부에 관계없이 고급 헌팅으로 이벤트가 표시됩니다. 이 섹션에는 고급 헌팅에 사용할 수 있는 몇 가지 예제 쿼리가 포함되어 있습니다.

예제 1: 디스크 및 파일 시스템 수준 적용에 의해 트리거되는 이동식 스토리지 정책

RemovableStoragePolicyTriggered 작업이 발생하면 디스크 및 파일 시스템 수준 적용에 대한 이벤트 정보를 사용할 수 있습니다.

현재 고급 헌팅에서는 이벤트에 대해 디바이스당 하루 RemovableStoragePolicyTriggered 300개의 이벤트로 제한됩니다. 디바이스 제어 보고서를 사용하여 추가 데이터를 봅니다.


//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft 보안 커뮤니티에 참여하세요.

참고 항목