엔드포인트용 Microsoft Defender 디바이스 제어 이벤트 및 정보 보기

엔드포인트용 Microsoft Defender 디바이스 제어는 특정 디바이스가 사용자의 컴퓨터에 연결되도록 허용하거나 차단하여 잠재적인 데이터 손실, 맬웨어 또는 기타 사이버 위협으로부터 organization 보호하는 데 도움이 됩니다. 고급 헌팅을 사용하거나 디바이스 제어 보고서를 사용하여 디바이스 제어 이벤트에 대한 정보를 볼 수 있습니다.

Microsoft Defender 포털에 액세스하려면 구독에 E5용 Microsoft 365 보고가 포함되어야 합니다.

고급 헌팅 및 디바이스 제어 보고서에 대해 자세히 알아보려면 각 탭을 선택합니다.

고급 헌팅

고급 헌팅

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2

디바이스 제어 정책이 트리거되면 시스템에서 시작했는지 또는 로그인한 사용자가 시작했는지 여부에 관계없이 고급 헌팅으로 이벤트가 표시됩니다. 이 섹션에는 고급 헌팅에 사용할 수 있는 몇 가지 예제 쿼리가 포함되어 있습니다.

예제 1: 디스크 및 파일 시스템 수준 적용에 의해 트리거되는 이동식 스토리지 정책

RemovableStoragePolicyTriggered 작업이 발생하면 디스크 및 파일 시스템 수준 적용에 대한 이벤트 정보를 사용할 수 있습니다.

팁

현재 고급 헌팅에서는 이벤트에 대해 디바이스당 하루 RemovableStoragePolicyTriggered 300개의 이벤트로 제한됩니다. 디바이스 제어 보고서를 사용하여 추가 데이터를 봅니다.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

예제 2: 이동식 스토리지 파일 이벤트

RemovableStorageFileEvent 작업이 발생하면 증거 파일에 대한 정보를 프린터 보호 및 이동식 스토리지 모두에 사용할 수 있습니다. 다음은 고급 헌팅과 함께 사용할 수 있는 예제 쿼리입니다.

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

디바이스 제어 보고서

디바이스 제어 보고서

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• 비즈니스용 Microsoft Defender

디바이스 제어 보고서를 사용하여 미디어 사용량과 관련된 이벤트를 볼 수 있습니다. 이러한 이벤트는 다음과 같습니다.

• 감사 이벤트: 외부 미디어가 연결되면 발생하는 감사 이벤트 수를 표시합니다.
• 정책 이벤트: 디바이스 제어 정책이 트리거될 때 발생하는 정책 이벤트 수를 표시합니다.

참고

미디어 사용량을 추적하는 감사 이벤트는 엔드포인트용 Microsoft Defender 온보딩된 디바이스에 대해 기본적으로 사용하도록 설정됩니다.

감사 이벤트 이해

감사 이벤트에는 다음이 포함됩니다.

• USB 드라이브 탑재 및 탑재 해제: USB 드라이브가 탑재되거나 탑재 해제될 때 생성되는 감사 이벤트입니다.
• PnP: 플러그 앤 플레이 감사 이벤트는 이동식 스토리지, 프린터 또는 Bluetooth 미디어가 연결될 때 생성됩니다.
• 이동식 스토리지 액세스 제어: 이벤트는 이동식 스토리지 액세스 제어 정책이 트리거될 때 생성됩니다. 감사, 차단 또는 허용일 수 있습니다.

디바이스 제어 보안 모니터링

엔드포인트용 Defender의 디바이스 제어를 통해 보안 관리자는 보고서를 통해 organization 디바이스 제어 보안을 추적할 수 있는 도구를 사용할 수 있습니다. Microsoft Defender 포털(https://security.microsoft.com)에서 디바이스 제어 보고서를 찾을 수 있습니다. 보고서>엔드포인트로 이동합니다. 디바이스 컨트롤 카드 찾아 링크를 선택하여 보고서를 엽니다.

보고서 dashboard 디바이스 보호 카드 지난 180일 동안 미디어 유형에 의해 생성된 감사 이벤트 수를 보여 줍니다. 세부 정보 보기에서 지난 30일 동안의 원시 이벤트가 나열됩니다.

세부 정보 보기 단추는 디바이스 제어 보고서 페이지에 더 많은 미디어 사용 현황 데이터를 표시합니다.

이 페이지는 형식당 집계된 이벤트 수와 이벤트 목록이 포함된 dashboard 제공하고 페이지당 500개의 이벤트를 표시하지만 관리자(예: 전역 관리자 또는 보안 관리자)인 경우 아래로 스크롤하여 더 많은 이벤트를 보고 시간 범위, 미디어 클래스 이름 및 디바이스 ID를 필터링할 수 있습니다.

이벤트를 선택하면 추가 정보를 보여 주는 플라이아웃이 나타납니다.

• 일반 세부 정보: 날짜, 작업 모드, 정책 및 이 이벤트의 액세스입니다.
• 미디어 정보: 미디어 정보에는 미디어 이름, 클래스 이름, 클래스 GUID, 디바이스 ID, 공급업체 ID, 일련 번호 및 버스 유형이 포함됩니다.
• 위치 세부 정보: 디바이스 이름, 사용자 및 MDATP 디바이스 ID입니다.

organization 이 미디어에 대한 실시간 활동을 보려면 고급 헌팅 열기 단추를 선택합니다. 여기에는 미리 정의된 포함된 쿼리가 포함됩니다.

디바이스의 보안을 보려면 플라이아웃에서 디바이스 페이지 열기 단추를 선택합니다. 이 단추는 디바이스 엔터티 페이지를 엽니다.

지연 보고

미디어 연결이 발생하는 시간부터 이벤트가 카드 또는 도메인 목록에 반영되는 시간까지 최대 6시간이 지연될 수 있습니다.

참고

이벤트 목록과 같은 데이터를 디바이스 제어 보고서에서 Excel로 내보내면 최대 500개의 이벤트가 내보내집니다. 그러나 organization Microsoft Sentinel을 사용하는 경우 모든 인시던트 및 경고가 스트리밍되도록 엔드포인트용 Defender를 Sentinel과 통합할 수 있습니다. 자세한 내용은 Microsoft Defender XDR Microsoft Sentinel에 데이터 연결을 참조하세요.

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.

참고 항목

• 엔드포인트용 Microsoft Defender 디바이스 제어
• macOS용 디바이스 제어