Просмотр событий и сведений об управлении устройством в Microsoft Defender для конечной точки

Управление устройствами Microsoft Defender для конечной точки помогает защитить организацию от потенциальной потери данных, вредоносных программ или других киберугроз, разрешая или предотвращая подключение определенных устройств к компьютерам пользователей. Ваша группа безопасности может просматривать сведения о событиях управления устройствами с помощью расширенной охоты или с помощью отчета об управлении устройством.

Важно!

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

Чтобы получить доступ к порталу Microsoft Defender, ваша подписка должна содержать отчеты Microsoft 365 для E5.

Выберите каждую вкладку, чтобы узнать больше о расширенной охоте и отчете об управлении устройством.

Расширенная охота

Расширенная охота

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)

При активации политики управления устройствами событие отображается при расширенном поиске независимо от того, было ли оно инициировано системой или пользователем, выполнившим вход. В этом разделе приведены примеры запросов, которые можно использовать при расширенной охоте.

Пример 1. Политика съемного хранилища, активируемая принудительным применением на уровне диска и файловой системы

При возникновении RemovableStoragePolicyTriggered действия доступны сведения о событиях о принудительном применении на уровне диска и файловой системы.

Совет

В настоящее время в расширенной охоте существует ограничение в 300 событий на устройство в день для RemovableStoragePolicyTriggered событий. Используйте отчет об управлении устройством для просмотра дополнительных данных.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Отчет об управлении устройством

Отчет об управлении устройством

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender для бизнеса

С помощью отчета об управлении устройством можно просматривать события, связанные с использованием мультимедиа. К таким событиям относятся:

• События аудита: Показывает количество событий аудита, возникающих при подключении внешнего носителя.
• События политики: Показывает количество событий политики, возникающих при активации политики управления устройствами.

Примечание.

Событие аудита для отслеживания использования мультимедиа включено по умолчанию для устройств, подключенных к Microsoft Defender для конечной точки.

Общие сведения о событиях аудита

К событиям аудита относятся:

• Подключение и отключение USB-накопителя: События аудита, создаваемые при подключении или отключении USB-накопителя.
• PnP: События аудита Plug and Play создаются при подключении съемных носителей, принтера или носителя Bluetooth.
• Управление доступом к съемным хранилищам: События создаются при активации политики управления доступом к съемным хранилищам. Это может быть аудит, блокировка или разрешение.

Мониторинг безопасности управления устройствами

Управление устройствами в Defender для конечной точки предоставляет администраторам безопасности средства, позволяющие отслеживать безопасность управления устройствами в своей организации с помощью отчетов. Отчет об управлении устройством можно найти на портале Microsoft Defender (https://security.microsoft.com). Перейдите в разделКонечные точкиотчетов>. Найдите карточку управления устройством и щелкните ссылку, чтобы открыть отчет.

На панели мониторинга "Отчеты " на карточке защиты устройств отображается количество событий аудита, созданных типом носителя за последние 180 дней. В разделе Просмотр сведений перечислены необработанные события за последние 30 дней.

Кнопка Просмотреть сведения отображает дополнительные данные об использовании мультимедиа на странице отчета об элементе управления устройством .

На странице представлена панель мониторинга с агрегированным числом событий по типу и списком событий, а также отображается 500 событий на странице, но если вы являетесь администратором (например, администратором безопасности), вы можете прокрутить вниз, чтобы просмотреть дополнительные события, а также фильтровать по диапазону времени, имени класса мультимедиа и идентификатору устройства.

При выборе события появляется всплывающее окно с дополнительными сведениями:

• Общие сведения: Дата, режим действия, политика и доступ к этому событию.
• Сведения о мультимедиа: Сведения о носителе включают имя носителя, имя класса, GUID класса, идентификатор устройства, идентификатор поставщика, серийный номер и тип шины.
• Сведения о расположении: Имя устройства, пользователь и идентификатор устройства MDATP.

Чтобы просмотреть действия в режиме реального времени для этого носителя в организации, нажмите кнопку Открыть расширенную охоту . Сюда входит встроенный предопределенный запрос.

Чтобы увидеть безопасность устройства, нажмите кнопку Открыть страницу устройства на всплывающем элементе. Эта кнопка открывает страницу сущности устройства.

Сообщения о задержках

С момента подключения к мультимедиа до момента отражения события в карточке или в списке доменов может быть задержка до шести часов.

Примечание.

При экспорте данных, таких как список событий, из отчета об управлении устройством в Excel экспортируется до 500 событий. Однако если ваша организация использует Microsoft Sentinel, вы можете интегрировать Defender для конечной точки с Sentinel, чтобы все инциденты и оповещения передавалися в потоковую передачу. Дополнительные сведения см. в статье Подключение данных из Microsoft Defender XDR к Microsoft Sentinel.

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.

См. также

• Управление устройствами в Microsoft Defender для конечной точки
• Управление устройствами для macOS