Share via


cihaz denetimi olaylarını ve bilgilerini Uç Nokta için Microsoft Defender

Uç Nokta için Microsoft Defender cihaz denetimi, belirli cihazların kullanıcıların bilgisayarlarına bağlanmasına izin vererek veya bunları engelleyerek kuruluşunuzun olası veri kaybına, kötü amaçlı yazılımlara veya diğer siber tehditlere karşı korunmasına yardımcı olur. Gelişmiş avcılık ile veya cihaz denetim raporunu kullanarak cihaz denetimi olayları hakkındaki bilgileri görüntüleyebilirsiniz.

Microsoft Defender portalına erişmek için aboneliğinizin E5 için Microsoft 365 raporlamasını içermesi gerekir.

Gelişmiş avcılık ve cihaz denetimi raporu hakkında daha fazla bilgi edinmek için her sekmeyi seçin.

Gelişmiş avcılık örneği

Şunlar için geçerlidir:

Bir cihaz denetimi ilkesi tetiklendiğinde, sistem tarafından mı yoksa oturum açan kullanıcı tarafından mı başlatıldığına bakılmaksızın gelişmiş avcılık ile bir olay görünür. Bu bölüm, gelişmiş avcılıkta kullanabileceğiniz bazı örnek sorguları içerir.

Örnek 1: Disk ve dosya sistemi düzeyi zorlaması tarafından tetiklenen çıkarılabilir depolama ilkesi

Bir RemovableStoragePolicyTriggered eylem gerçekleştiğinde, disk ve dosya sistemi düzeyi zorlaması hakkındaki olay bilgileri kullanılabilir.

İpucu

Şu anda gelişmiş avcılıkta, etkinlikler için RemovableStoragePolicyTriggered cihaz başına günlük 300 etkinlik sınırı vardır. Ek verileri görüntülemek için cihaz denetim raporunu kullanın.


//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Örnek 2: Çıkarılabilir depolama dosyası olayı

Bir ilke dosya kanıtı toplamak üzere yapılandırılmışsa, bir RemovableStorageFileEvent oluşturulur. Olay hem yazıcılar hem de çıkarılabilir depolama cihazları için oluşturulur. Gelişmiş avcılık ile kullanabileceğiniz örnek bir sorgu aşağıda verilmişti:


//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Not

, RemovableStorageFileEvent bir dosya cihaza kopyalandıktan hemen sonra görünmez. Görüntülenmesi 24 saat kadar sürebilir.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.

Ayrıca bkz.