Vis hendelser og informasjon om enhetskontroll i Microsoft Defender for endepunkt

Enhetskontroll for Microsoft Defender for Endpoint bidrar til å beskytte organisasjonen mot potensielt tap av data, skadelig programvare eller andre netttrusler ved å tillate eller forhindre at enkelte enheter kobles til brukernes datamaskiner. Sikkerhetsteamet kan vise informasjon om enhetskontrollhendelser med avansert jakt eller ved hjelp av rapporten for enhetskontroll.

Viktig

Microsoft anbefaler at du bruker roller med færrest tillatelser. Dette bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

Hvis du vil ha tilgang til Microsoft Defender-portalen, må abonnementet omfatte rapportering av Microsoft 365 for E5.

Velg hver fane for å lære mer om avansert jakt og enhetskontrollrapporten.

Avansert jakt

Avansert jakt

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2

Når en policy for enhetskontroll utløses, er en hendelse synlig med avansert jakt, uavhengig av om den ble startet av systemet eller av brukeren som logget på. Denne delen inneholder noen eksempelspørringer du kan bruke i avansert jakt.

Eksempel 1: Policy for flyttbar lagring utløst av håndhevelse på disk- og filsystemnivå

Når en RemovableStoragePolicyTriggered handling oppstår, er hendelsesinformasjon om håndhevelse av disk og filsystemnivå tilgjengelig.

Tips

For øyeblikket, i avansert jakt, er det en grense på 300 hendelser per enhet per dag for RemovableStoragePolicyTriggered hendelser. Bruk rapporten for enhetskontroll til å vise tilleggsdata.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Rapport for enhetskontroll

Rapport for enhetskontroll

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender for Business

Med rapporten for enhetskontroll kan du vise hendelser som er relatert til mediebruk. Slike hendelser inkluderer:

• Overvåkingshendelser: Viser antall overvåkingshendelser som oppstår når eksterne medier er tilkoblet.
• Policyhendelser: Viser antallet policyhendelser som oppstår når en policy for enhetskontroll utløses.

Obs!

Overvåkingshendelsen for å spore mediebruk er aktivert som standard for enheter som er innebygd i Microsoft Defender for endepunkt.

Forstå overvåkingshendelsene

Revisjonshendelsene omfatter:

• USB-stasjonsmontering og -demontering: Overvåkingshendelser som genereres når en USB-stasjon er montert eller demontert.
• Pnp: Overvåkingshendelser for plug and play genereres når flyttbare lagringsmedier, skrivere eller Bluetooth-medier er tilkoblet.
• Flyttbar tilgangskontroll for lagringsplass: Hendelser genereres når en kontrollpolicy for flyttbar lagringstilgang utløses. Det kan være Overvåking, Blokk eller Tillat.

Overvåk enhetskontrollsikkerhet

Enhetskontroll i Defender for Endpoint gir sikkerhetsadministratorer verktøy som gjør det mulig for dem å spore organisasjonens enhetskontrollsikkerhet gjennom rapporter. Du finner rapporten for enhetskontroll i Microsoft Defender-portalen (https://security.microsoft.com). Gå tilendepunkter for rapporter>. Finn enhetskontrollkortet , og velg koblingen for å åpne rapporten.

I instrumentbordet for rapporter viser enhetsbeskyttelseskortet antall overvåkingshendelser generert av medietype i løpet av de siste 180 dagene. Under Vis detaljer er rå hendelser i løpet av de siste 30 dagene oppført.

Vis detaljer-knappen viser flere mediebruksdata på rapportsiden for enhetskontroll.

Siden inneholder et instrumentbord med aggregert antall hendelser per type og en liste over hendelser og viser 500 hendelser per side, men hvis du er administrator (for eksempel en sikkerhetsadministrator), kan du rulle ned for å se flere hendelser og filtrere etter tidsområde, medieklassenavn og enhets-ID.

Når du velger en hendelse, vises en undermeny som viser mer informasjon:

• Generelle detaljer: Dato, handlingsmodus, policy og tilgang for denne hendelsen.
• Medieinformasjon: Medieinformasjon inkluderer medienavn, klassenavn, klasse-GUID, enhets-ID, leverandør-ID, serienummer og busstype.
• Stedsdetaljer: Enhetsnavn, bruker og MDATP-enhets-ID.

Hvis du vil se aktivitet i sanntid for dette mediet på tvers av organisasjonen, velger du Knappen Åpne avansert jakt . Dette inkluderer en innebygd, forhåndsdefinert spørring.

Hvis du vil se sikkerheten til enheten, velger du åpne enhetssideknappen på undermenyen. Denne knappen åpner enhetssiden for enheten.

Rapportere forsinkelser

Det kan være en forsinkelse på opptil seks timer fra tidspunktet en medietilkobling oppstår til tidspunktet hendelsen gjenspeiles i kortet eller i domenelisten.

Obs!

Når du eksporterer data, for eksempel en liste over hendelser, eksporteres opptil 500 hendelser fra enhetskontrollrapporten til Excel. Hvis organisasjonen bruker Microsoft Sentinel, kan du imidlertid integrere Defender for Endpoint med Sentinel, slik at alle hendelser og varsler strømmes. Hvis du vil ha mer informasjon, kan du se Koble data fra Microsoft Defender XDR til Microsoft Sentinel.

Tips

Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.

Se også

• Enhetskontroll i Microsoft Defender for endepunkt
• Enhetskontroll for macOS