Ver eventos e informações de controlo de dispositivos no Microsoft Defender para Endpoint

Microsoft Defender para Endpoint controlo de dispositivos ajuda a proteger a sua organização contra potenciais perdas de dados, software maligno ou outras ameaças cibernéticas ao permitir ou impedir que determinados dispositivos estejam ligados aos computadores dos utilizadores. Pode ver informações sobre eventos de controlo de dispositivos com investigação avançada ou através do relatório de controlo de dispositivos.

Para aceder ao portal Microsoft Defender, a sua subscrição tem de incluir relatórios do Microsoft 365 para E5.

Selecione cada separador para saber mais sobre a investigação avançada e o relatório de controlo de dispositivos.

Investigação avançada

Investigação avançada

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2

Quando uma política de controlo de dispositivos é acionada, é visível um evento com investigação avançada, independentemente de ter sido iniciado pelo sistema ou pelo utilizador que iniciou sessão. Esta secção inclui algumas consultas de exemplo que pode utilizar na investigação avançada.

Exemplo 1: política de armazenamento amovível acionada pela imposição ao nível do sistema de ficheiros e disco

Quando ocorre uma RemovableStoragePolicyTriggered ação, estão disponíveis informações sobre o disco e a imposição ao nível do sistema de ficheiros.

Sugestão

Atualmente, na investigação avançada, existe um limite de 300 eventos por dispositivo por dia para RemovableStoragePolicyTriggered eventos. Utilize o relatório de controlo do dispositivo para ver dados adicionais.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Exemplo 2: Evento de ficheiro de armazenamento amovível

Quando ocorre uma ação RemovableStorageFileEvent, as informações sobre o ficheiro de provas estão disponíveis para proteção da impressora e armazenamento amovível. Eis uma consulta de exemplo que pode utilizar com investigação avançada:

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Relatório de controlo de dispositivos

Relatório de controlo de dispositivos

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender para Empresas

Com o relatório de controlo de dispositivos, pode ver eventos relacionados com a utilização de multimédia. Tais eventos incluem:

• Eventos de auditoria: Mostra o número de eventos de auditoria que ocorrem quando o suporte de dados externo está ligado.
• Eventos de política: Mostra o número de eventos de política que ocorrem quando uma política de controlo de dispositivos é acionada.

Nota

O evento de auditoria para controlar a utilização de multimédia está ativado por predefinição para dispositivos integrados no Microsoft Defender para Endpoint.

Compreender os eventos de auditoria

Os eventos de auditoria incluem:

• Montagem e desmontagem da pen USB: Eventos de auditoria gerados quando uma pen USB é montada ou desmontada.
• PnP: Plug and Play eventos de auditoria são gerados quando o armazenamento amovível, uma impressora ou um suporte de dados Bluetooth estão ligados.
• Controlo de acesso ao armazenamento amovível: Os eventos são gerados quando uma política de controlo de acesso ao armazenamento amovível é acionada. Pode ser Auditoria, Bloquear ou Permitir.

Monitorizar a segurança do controlo de dispositivos

O controlo de dispositivos no Defender para Endpoint capacita os administradores de segurança com ferramentas que lhes permitem controlar a segurança do controlo de dispositivos da organização através de relatórios. Pode encontrar o relatório de controlo de dispositivos no portal do Microsoft Defender (https://security.microsoft.com). Aceda aPontos Finaisde Relatórios>. Localize o Cartão de controlo do dispositivo e selecione a ligação para abrir o relatório.

No dashboard Relatórios , o cartão Proteção de dispositivos mostra o número de eventos de auditoria gerados por tipo de suporte de dados, nos últimos 180 dias. Em Ver detalhes, são listados eventos não processados nos últimos 30 dias.

O botão Ver detalhes mostra mais dados de utilização de multimédia na página Relatório de controlo de dispositivos .

A página fornece um dashboard com um número agregado de eventos por tipo e uma lista de eventos e mostra 500 eventos por página, mas se for um administrador (como um administrador global ou administrador de segurança), pode deslocar-se para baixo para ver mais eventos e pode filtrar no intervalo de tempo, no nome da classe multimédia e no ID do dispositivo.

Quando seleciona um evento, é apresentada uma lista de opções que lhe mostra mais informações:

• Detalhes gerais: Data, Modo de ação, política e Acesso deste evento.
• Informações de multimédia: As informações de multimédia incluem o Nome do suporte de dados, o Nome da classe, o GUID da Classe, o ID do Dispositivo, o ID do Fornecedor, o Número de série e o tipo de Barramento.
• Detalhes da localização: Nome do dispositivo, Utilizador e ID do dispositivo MDATP.

Para ver a atividade em tempo real para este suporte de dados em toda a organização, selecione o botão Abrir investigação Avançada . Isto inclui uma consulta incorporada predefinida.

Para ver a segurança do dispositivo, selecione o botão Abrir página do dispositivo na lista de opções. Este botão abre a página da entidade do dispositivo.

Comunicar atrasos

Pode haver um atraso de até seis horas a partir do momento em que ocorre uma ligação multimédia até à hora em que o evento é refletido no cartão ou na lista de domínios.

Nota

Quando exporta dados, como uma lista de eventos, do relatório de controlo do dispositivo para o Excel, são exportados até 500 eventos. No entanto, se a sua organização estiver a utilizar o Microsoft Sentinel, pode integrar o Defender para Endpoint no Sentinel para que todos os incidentes e alertas sejam transmitidos em fluxo. Para obter mais informações, consulte Ligar dados de Microsoft Defender XDR ao Microsoft Sentinel.

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.

Consulte também

• Controlo do dispositivo no Microsoft Defender para Endpoint
• Controlo de Dispositivos para macOS