cihaz denetimi olaylarını ve bilgilerini Uç Nokta için Microsoft Defender
Uç Nokta için Microsoft Defender cihaz denetimi, belirli cihazların kullanıcıların bilgisayarlarına bağlanmasına izin vererek veya bunları engelleyerek kuruluşunuzun olası veri kaybına, kötü amaçlı yazılımlara veya diğer siber tehditlere karşı korunmasına yardımcı olur. Gelişmiş avcılık ile veya cihaz denetim raporunu kullanarak cihaz denetimi olayları hakkındaki bilgileri görüntüleyebilirsiniz.
Microsoft Defender portalına erişmek için aboneliğinizin E5 için Microsoft 365 raporlamasını içermesi gerekir.
Gelişmiş avcılık ve cihaz denetimi raporu hakkında daha fazla bilgi edinmek için her sekmeyi seçin.
Gelişmiş avcılık örneği
Şunlar için geçerlidir:
Bir cihaz denetimi ilkesi tetiklendiğinde, sistem tarafından mı yoksa oturum açan kullanıcı tarafından mı başlatıldığına bakılmaksızın gelişmiş avcılık ile bir olay görünür. Bu bölüm, gelişmiş avcılıkta kullanabileceğiniz bazı örnek sorguları içerir.
Örnek 1: Disk ve dosya sistemi düzeyi zorlaması tarafından tetiklenen çıkarılabilir depolama ilkesi
Bir RemovableStoragePolicyTriggered
eylem gerçekleştiğinde, disk ve dosya sistemi düzeyi zorlaması hakkındaki olay bilgileri kullanılabilir.
İpucu
Şu anda gelişmiş avcılıkta, etkinlikler için RemovableStoragePolicyTriggered
cihaz başına günlük 300 etkinlik sınırı vardır. Ek verileri görüntülemek için cihaz denetim raporunu kullanın.
//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
Örnek 2: Çıkarılabilir depolama dosyası olayı
Bir RemovableStorageFileEvent eylemi gerçekleştiğinde, kanıt dosyası hakkındaki bilgiler hem yazıcı koruması hem de çıkarılabilir depolama için kullanılabilir. Gelişmiş avcılık ile kullanabileceğiniz örnek bir sorgu aşağıda verilmişti:
//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.
Ayrıca bkz.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin