Wyświetlanie zdarzeń i informacji dotyczących sterowania urządzeniami w Ochrona punktu końcowego w usłudze Microsoft Defender

Ochrona punktu końcowego w usłudze Microsoft Defender kontrola urządzeń pomaga chronić organizację przed potencjalną utratą danych, złośliwym oprogramowaniem lub innymi zagrożeniami cybernetycznymi, zezwalając na połączenie niektórych urządzeń z komputerami użytkowników lub uniemożliwiając ich łączenie. Informacje o zdarzeniach sterowania urządzeniami można wyświetlić przy użyciu zaawansowanego wyszukiwania zagrożeń lub za pomocą raportu kontroli urządzenia.

Aby uzyskać dostęp do portalu Microsoft Defender, twoja subskrypcja musi obejmować usługę Microsoft 365 na potrzeby raportowania E5.

Wybierz każdą kartę, aby dowiedzieć się więcej na temat zaawansowanego wyszukiwania zagrożeń i raportu kontroli urządzenia.

Zaawansowane wyszukiwanie zagrożeń

Zaawansowane wyszukiwanie zagrożeń

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)

Po wyzwoleniu zasad kontroli urządzenia zdarzenie jest widoczne z zaawansowanym wyszukiwaniem zagrożeń, niezależnie od tego, czy zostało zainicjowane przez system, czy przez użytkownika, który się zalogował. Ta sekcja zawiera kilka przykładowych zapytań, których można użyć w zaawansowanym wyszukiwaniu zagrożeń.

Przykład 1: Zasady magazynu wymiennego wyzwalane przez wymuszanie na poziomie dysku i systemu plików

W przypadku wykonania RemovableStoragePolicyTriggered akcji są dostępne informacje o zdarzeniu dotyczące wymuszania na poziomie dysku i systemu plików.

Porada

Obecnie w przypadku zaawansowanego wyszukiwania zagrożeń istnieje limit 300 zdarzeń na urządzenie dziennie dla RemovableStoragePolicyTriggered zdarzeń. Użyj raportu kontroli urządzenia, aby wyświetlić dodatkowe dane.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Przykład 2: Zdarzenie pliku magazynu wymiennego

W przypadku wystąpienia akcji RemovableStorageFileEvent informacje o pliku dowodowym są dostępne zarówno dla ochrony drukarki, jak i magazynu wymiennego. Oto przykładowe zapytanie, którego można użyć z zaawansowanym wyszukiwaniem zagrożeń:

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Raport kontroli urządzenia

Raport kontroli urządzenia

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender dla Firm

Raport kontroli urządzenia umożliwia wyświetlanie zdarzeń związanych z użyciem multimediów. Takie zdarzenia obejmują:

• Zdarzenia inspekcji: Przedstawia liczbę zdarzeń inspekcji występujących po nawiązaniu połączenia z nośnikiem zewnętrznym.
• Zdarzenia zasad: Pokazuje liczbę zdarzeń zasad występujących po wyzwoleniu zasad sterowania urządzeniami.

Uwaga

Zdarzenie inspekcji do śledzenia użycia multimediów jest domyślnie włączone dla urządzeń dołączonych do Ochrona punktu końcowego w usłudze Microsoft Defender.

Omówienie zdarzeń inspekcji

Zdarzenia inspekcji obejmują:

• Instalowanie i odinstalowywanie dysku USB: Przeprowadź inspekcję zdarzeń generowanych podczas instalowania lub odinstalowyowania dysku USB.
• PnP: Plug and Play zdarzenia inspekcji są generowane podczas podłączania magazynu wymiennego, drukarki lub nośnika Bluetooth.
• Kontrola dostępu do magazynu wymiennego: Zdarzenia są generowane po wyzwoleniu zasad kontroli dostępu magazynu wymiennego. Może to być inspekcja, blokowanie lub zezwalanie.

Monitorowanie zabezpieczeń sterowania urządzeniami

Kontrola urządzeń w usłudze Defender for Endpoint umożliwia administratorom zabezpieczeń korzystanie z narzędzi, które umożliwiają im śledzenie zabezpieczeń kontroli urządzeń w organizacji za pośrednictwem raportów. Raport kontroli urządzenia można znaleźć w portalu Microsoft Defender (https://security.microsoft.com). Przejdź dopozycji Punkty końcowe raportów>. Znajdź kartę Kontrolka urządzenia i wybierz link, aby otworzyć raport.

Na pulpicie nawigacyjnym Raporty na karcie Ochrona urządzenia jest wyświetlana liczba zdarzeń inspekcji generowanych przez typ nośnika w ciągu ostatnich 180 dni. W obszarze Wyświetl szczegóły wyświetlane są nieprzetworzone zdarzenia z ostatnich 30 dni.

Przycisk Wyświetl szczegóły zawiera więcej danych użycia multimediów na stronie Raport kontrolki urządzenia .

Strona zawiera pulpit nawigacyjny z zagregowaną liczbą zdarzeń na typ oraz listę zdarzeń i pokazuje 500 zdarzeń na stronę, ale jeśli jesteś administratorem (takim jak administrator globalny lub administrator zabezpieczeń), możesz przewinąć w dół, aby wyświetlić więcej zdarzeń i filtrować zakres czasu, nazwę klasy multimediów i identyfikator urządzenia.

Po wybraniu zdarzenia zostanie wyświetlony wysuwany komunikat zawierający więcej informacji:

• Szczegóły ogólne: Data, tryb akcji, zasady i dostęp do tego zdarzenia.
• Informacje o multimediach: Informacje o nośniku obejmują nazwę nośnika, nazwę klasy, identyfikator GUID klasy, identyfikator urządzenia, identyfikator dostawcy, numer seryjny i typ magistrali.
• Szczegóły lokalizacji: Nazwa urządzenia, użytkownik i identyfikator urządzenia MDATP.

Aby wyświetlić działania w czasie rzeczywistym dla tego nośnika w całej organizacji, wybierz przycisk Otwórz zaawansowane wyszukiwanie zagrożeń . Obejmuje to osadzone, wstępnie zdefiniowane zapytanie.

Aby wyświetlić zabezpieczenia urządzenia, wybierz przycisk Otwórz stronę urządzenia na wysuwanym urządzeniu. Ten przycisk otwiera stronę jednostki urządzenia.

Raportowanie opóźnień

Może wystąpić opóźnienie do sześciu godzin od momentu nawiązania połączenia z nośnikiem do momentu, w którym zdarzenie zostanie odzwierciedlone na karcie lub na liście domen.

Uwaga

Podczas eksportowania danych, takich jak lista zdarzeń, z raportu kontroli urządzenia do programu Excel eksportowanych jest do 500 zdarzeń. Jeśli jednak Twoja organizacja korzysta z usługi Microsoft Sentinel, możesz zintegrować usługę Defender for Endpoint z usługą Sentinel, aby wszystkie zdarzenia i alerty były przesyłane strumieniowo. Aby uzyskać więcej informacji, zobacz Łączenie danych z Microsoft Defender XDR do usługi Microsoft Sentinel.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.

Zobacz też

• Kontrola urządzenia w Ochrona punktu końcowego w usłudze Microsoft Defender
• Kontrola urządzenia dla systemu macOS