Поделиться через


Просмотр событий и сведений об управлении устройством в Microsoft Defender для конечной точки

Управление устройствами Microsoft Defender для конечной точки помогает защитить организацию от потенциальной потери данных, вредоносных программ или других киберугроз, разрешая или предотвращая подключение определенных устройств к компьютерам пользователей. Ваша группа безопасности может просматривать сведения о событиях управления устройствами с помощью расширенной охоты или с помощью отчета об управлении устройством.

Важно!

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

Чтобы получить доступ к порталу Microsoft Defender, ваша подписка должна содержать отчеты Microsoft 365 для E5.

Выберите каждую вкладку, чтобы узнать больше о расширенной охоте и отчете об управлении устройством.

Расширенная охота

Область применения:

При активации политики управления устройствами событие отображается при расширенном поиске независимо от того, было ли оно инициировано системой или пользователем, выполнившим вход. В этом разделе приведены примеры запросов, которые можно использовать при расширенной охоте.

Пример 1. Политика съемного хранилища, активируемая принудительным применением на уровне диска и файловой системы

При возникновении RemovableStoragePolicyTriggered действия доступны сведения о событиях о принудительном применении на уровне диска и файловой системы.

Совет

В настоящее время в расширенной охоте существует ограничение в 300 событий на устройство в день для RemovableStoragePolicyTriggered событий. Используйте отчет об управлении устройством для просмотра дополнительных данных.


//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.

См. также