Exibir eventos e informações de controle de dispositivo no Microsoft Defender para Ponto de Extremidade

Microsoft Defender para Ponto de Extremidade controle de dispositivo ajuda a proteger sua organização contra possíveis perdas de dados, malware ou outras ameaças cibernéticas, permitindo ou impedindo que determinados dispositivos sejam conectados aos computadores dos usuários. Você pode exibir informações sobre eventos de controle de dispositivo com caça avançada ou usando o relatório de controle do dispositivo.

Para acessar o portal Microsoft Defender, sua assinatura deve incluir o Microsoft 365 para relatórios E5.

Selecione cada guia para saber mais sobre a caça avançada e o relatório de controle do dispositivo.

Caça avançada

Busca avançada

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade

Quando uma política de controle de dispositivo é disparada, um evento fica visível com a caça avançada, independentemente de ter sido iniciado pelo sistema ou pelo usuário que entrou. Esta seção inclui algumas consultas de exemplo que você pode usar na caça avançada.

Exemplo 1: política de armazenamento removível disparada pela aplicação do nível do sistema de disco e arquivo

Quando uma RemovableStoragePolicyTriggered ação ocorre, as informações de evento sobre o nível do disco e do sistema de arquivos estão disponíveis.

Dica

Atualmente, em busca avançada, há um limite de 300 eventos por dispositivo por dia para RemovableStoragePolicyTriggered eventos. Use o relatório de controle do dispositivo para exibir dados adicionais.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Exemplo 2: evento de arquivo de armazenamento removível

Quando ocorre uma ação RemovableStorageFileEvent, as informações sobre o arquivo de evidência estão disponíveis para proteção de impressora e armazenamento removível. Aqui está uma consulta de exemplo que você pode usar com a caça avançada:

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Relatório de controle de dispositivo

Relatório de controle de dispositivo

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender para Empresas

Com o relatório de controle do dispositivo, você pode exibir eventos relacionados ao uso de mídia. Tais eventos incluem:

• Eventos de auditoria: Mostra o número de eventos de auditoria que ocorrem quando a mídia externa está conectada.
• Eventos de política: Mostra o número de eventos de política que ocorrem quando uma política de controle de dispositivo é disparada.

Observação

O evento de auditoria para controlar o uso de mídia é habilitado por padrão para dispositivos integrados a Microsoft Defender para Ponto de Extremidade.

Entender os eventos de auditoria

Os eventos de auditoria incluem:

• Montagem e desmontagem da unidade USB: Audite eventos gerados quando uma unidade USB é montada ou desmontada.
• PnP: Plug and Play eventos de auditoria são gerados quando o armazenamento removível, uma impressora ou mídia Bluetooth são conectados.
• Controle de acesso ao armazenamento removível: Os eventos são gerados quando uma política de controle de acesso ao armazenamento removível é disparada. Ele pode ser Audit, Block ou Allow.

Monitorar a segurança do controle do dispositivo

O controle de dispositivo no Defender para Ponto de Extremidade capacita os administradores de segurança com ferramentas que permitem que eles acompanhem a segurança do controle de dispositivo de sua organização por meio de relatórios. Você pode encontrar o relatório de controle do dispositivo no portal do Microsoft Defender (https://security.microsoft.com). Acesse Pontosde Extremidade deRelatórios>. Localize o controle do dispositivo cartão e selecione o link para abrir o relatório.

Nos relatórios dashboard, o cartão de proteção de dispositivo mostra o número de eventos de auditoria gerados pelo tipo de mídia, nos últimos 180 dias. Em Exibir detalhes, os eventos brutos nos últimos 30 dias estão listados.

O botão Exibir detalhes mostra mais dados de uso de mídia na página relatório de controle de dispositivo .

A página fornece um dashboard com um número agregado de eventos por tipo e uma lista de eventos e mostra 500 eventos por página, mas se você é um administrador (como um administrador global ou administrador de segurança), você pode rolar para baixo para ver mais eventos e pode filtrar no intervalo de tempo, nome da classe de mídia e ID do dispositivo.

Ao selecionar um evento, será exibido um flyout que mostra mais informações:

• Detalhes gerais: Data, modo de ação, política e acesso deste evento.
• Informações de mídia: As informações de mídia incluem nome da mídia, nome da classe, GUID de classe, ID do dispositivo, ID do fornecedor, número de série e tipo de barramento.
• Detalhes do local: Nome do dispositivo, Usuário e ID do dispositivo MDATP.

Para ver a atividade em tempo real para essa mídia em toda a organização, selecione o botão Abrir caça avançada . Isso inclui uma consulta inserida e predefinida.

Para ver a segurança do dispositivo, selecione o botão Abrir página do dispositivo no flyout. Este botão abre a página entidade do dispositivo.

Atrasos de relatórios

Pode haver um atraso de até seis horas a partir do momento em que uma conexão de mídia ocorre até o momento em que o evento é refletido no cartão ou na lista de domínios.

Observação

Quando você exporta dados, como uma lista de eventos, do relatório de controle de dispositivo para o Excel, até 500 eventos são exportados. No entanto, se sua organização estiver usando o Microsoft Sentinel, você poderá integrar o Defender para Ponto de Extremidade ao Sentinel para que todos os incidentes e alertas sejam transmitidos. Para obter mais informações, confira Conectar dados do Microsoft Defender XDR ao Microsoft Sentinel.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.

Confira também

• Controle de dispositivo no Microsoft Defender para Ponto de Extremidade
• Controle de dispositivo para macOS