Visa händelser och information om enhetskontroll i Microsoft Defender för Endpoint

Microsoft Defender för Endpoint enhetskontroll skyddar din organisation mot potentiell dataförlust, skadlig kod eller andra cyberhot genom att tillåta eller förhindra att vissa enheter ansluts till användarnas datorer. Du kan visa information om enhetskontrollhändelser med avancerad jakt eller med hjälp av enhetskontrollrapporten.

För att få åtkomst till Microsoft Defender-portalen måste din prenumeration innehålla Microsoft 365 för E5-rapportering.

Välj varje flik om du vill veta mer om avancerad jakt och enhetskontrollrapporten.

Avancerad jakt

Avancerad jakt

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2

När en princip för enhetskontroll utlöses visas en händelse med avancerad jakt, oavsett om den initierades av systemet eller av användaren som loggade in. Det här avsnittet innehåller några exempelfrågor som du kan använda i avancerad jakt.

Exempel 1: Flyttbar lagringsprincip som utlöses av tvingande på disk- och filsystemnivå

När en RemovableStoragePolicyTriggered åtgärd inträffar är händelseinformation om tvingande på disk- och filsystemnivå tillgänglig.

Tips

I avancerad jakt finns det för närvarande en gräns på 300 händelser per enhet och dag för RemovableStoragePolicyTriggered händelser. Använd enhetskontrollrapporten för att visa ytterligare data.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Exempel 2: Händelse för flyttbar lagringsfil

När åtgärden RemovableStorageFileEvent inträffar finns information om bevisfilen tillgänglig för både skrivarskydd och flyttbar lagring. Här är en exempelfråga som du kan använda med avancerad jakt:

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Rapport för enhetskontroll

Rapport för enhetskontroll

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender för företag

Med enhetskontrollrapporten kan du visa händelser som är relaterade till medieanvändning. Sådana händelser omfattar:

• Granskningshändelser: Visar antalet granskningshändelser som inträffar när externa medier är anslutna.
• Principhändelser: Visar antalet principhändelser som inträffar när en princip för enhetskontroll utlöses.

Obs!

Granskningshändelsen för att spåra medieanvändning är aktiverad som standard för enheter som registrerats för att Microsoft Defender för Endpoint.

Förstå granskningshändelserna

Granskningshändelserna omfattar:

• USB-enhetsmontering och demontera: Granska händelser som genereras när en USB-enhet monteras eller demonteras.
• PnP: Plug and Play granskningshändelser genereras när flyttbara lagringsmedier, skrivare eller Bluetooth-media är anslutna.
• Åtkomstkontroll för flyttbar lagring: Händelser genereras när en princip för åtkomstkontroll för flyttbara lagringsenheter utlöses. Det kan vara Granskning, Blockera eller Tillåt.

Övervaka säkerhet för enhetskontroll

Enhetskontroll i Defender för Endpoint ger säkerhetsadministratörer verktyg som gör det möjligt för dem att spåra organisationens säkerhet för enhetskontroll via rapporter. Du hittar enhetskontrollrapporten i Microsoft Defender-portalen (https://security.microsoft.com). Gå tillRapportslutpunkter>. Leta upp enhetskontrollkortet och välj länken för att öppna rapporten.

På instrumentpanelen Rapporter visar kortet Enhetsskydd antalet granskningshändelser som genererats av medietyp under de senaste 180 dagarna. Under Visa information visas råhändelser under de senaste 30 dagarna.

Knappen Visa information visar mer medieanvändningsdata på rapportsidan Enhetskontroll .

Sidan innehåller en instrumentpanel med aggregerat antal händelser per typ och en lista över händelser och visar 500 händelser per sida, men om du är administratör (till exempel global administratör eller säkerhetsadministratör) kan du rulla ned för att se fler händelser och filtrera efter tidsintervall, medieklassnamn och enhets-ID.

När du väljer en händelse visas en utfälld meny som visar mer information:

• Allmän information: Datum, åtgärdsläge, princip och åtkomst för den här händelsen.
• Medieinformation: Medieinformation omfattar Medienamn, Klassnamn, Klass-GUID, Enhets-ID, Leverantörs-ID, Serienummer och Busstyp.
• Platsinformation: Enhetsnamn, Användare och MDATP-enhets-ID.

Om du vill se realtidsaktivitet för det här mediet i organisationen väljer du knappen Öppna avancerad jakt . Detta inkluderar en inbäddad, fördefinierad fråga.

Om du vill se enhetens säkerhet väljer du knappen Öppna enhetssida i den utfällbara menyn. Den här knappen öppnar enhetens entitetssida.

Rapporteringsfördröjningar

Det kan uppstå en fördröjning på upp till sex timmar från det att en medieanslutning inträffar till den tidpunkt då händelsen återspeglas i kortet eller i domänlistan.

Obs!

När du exporterar data, till exempel en lista över händelser, från enhetskontrollrapporten till Excel exporteras upp till 500 händelser. Men om din organisation använder Microsoft Sentinel kan du integrera Defender för Endpoint med Sentinel så att alla incidenter och aviseringar strömmas. Mer information finns i Ansluta data från Microsoft Defender XDR till Microsoft Sentinel.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.

Se även

• Enhetskontroll i Microsoft Defender för Endpoint
• Enhetskontroll för macOS