Compartilhar via


Ver eventos e informações de controlo de dispositivos no Microsoft Defender para Endpoint

O controlo de dispositivos do Microsoft Defender para Endpoint ajuda a proteger a sua organização contra potenciais perdas de dados, software maligno ou outras ameaças cibernéticas ao permitir ou impedir que determinados dispositivos estejam ligados aos computadores dos utilizadores. A sua equipa de segurança pode ver informações sobre eventos de controlo de dispositivos com investigação avançada ou através do relatório de controlo de dispositivos.

Importante

A Microsoft recomenda que utilize funções com menos permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

Para aceder ao portal do Microsoft Defender, a sua subscrição tem de incluir relatórios do Microsoft 365 para E5.

Selecione cada separador para saber mais sobre a investigação avançada e o relatório de controlo de dispositivos.

Busca avançada

Aplica-se a:

Quando uma política de controlo de dispositivos é acionada, é visível um evento com investigação avançada, independentemente de ter sido iniciado pelo sistema ou pelo utilizador que iniciou sessão. Esta secção inclui algumas consultas de exemplo que pode utilizar na investigação avançada.

Exemplo 1: política de armazenamento amovível acionada pela imposição ao nível do sistema de ficheiros e disco

Quando ocorre uma RemovableStoragePolicyTriggered ação, estão disponíveis informações sobre o disco e a imposição ao nível do sistema de ficheiros.

Dica

Atualmente, na investigação avançada, existe um limite de 300 eventos por dispositivo por dia para RemovableStoragePolicyTriggered eventos. Utilize o relatório de controlo do dispositivo para ver dados adicionais.


//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.

Confira também