Exibir eventos e informações de controle de dispositivo no Microsoft Defender para Ponto de Extremidade
Microsoft Defender para Ponto de Extremidade controle de dispositivo ajuda a proteger sua organização contra possíveis perdas de dados, malware ou outras ameaças cibernéticas, permitindo ou impedindo que determinados dispositivos sejam conectados aos computadores dos usuários. Você pode exibir informações sobre eventos de controle de dispositivo com caça avançada ou usando o relatório de controle do dispositivo.
Para acessar o portal Microsoft Defender, sua assinatura deve incluir o Microsoft 365 para relatórios E5.
Selecione cada guia para saber mais sobre a caça avançada e o relatório de controle do dispositivo.
Busca avançada
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
Quando uma política de controle de dispositivo é disparada, um evento fica visível com a caça avançada, independentemente de ter sido iniciado pelo sistema ou pelo usuário que entrou. Esta seção inclui algumas consultas de exemplo que você pode usar na caça avançada.
Exemplo 1: política de armazenamento removível disparada pela aplicação do nível do sistema de disco e arquivo
Quando uma RemovableStoragePolicyTriggered
ação ocorre, as informações de evento sobre o nível do disco e do sistema de arquivos estão disponíveis.
Dica
Atualmente, em busca avançada, há um limite de 300 eventos por dispositivo por dia para RemovableStoragePolicyTriggered
eventos. Use o relatório de controle do dispositivo para exibir dados adicionais.
//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
Exemplo 2: evento de arquivo de armazenamento removível
Se uma política estiver configurada para coletar evidências de arquivo, uma RemovableStorageFileEvent
será criada. O evento é gerado para impressoras e dispositivos de armazenamento removíveis. Aqui está uma consulta de exemplo que você pode usar com a caça avançada:
//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc
Observação
O RemovableStorageFileEvent
não aparece imediatamente depois que um arquivo é copiado para o dispositivo. Pode levar até 24 horas para aparecer.
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Confira também
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de