cihaz denetimi olaylarını ve bilgilerini Uç Nokta için Microsoft Defender

Uç Nokta için Microsoft Defender cihaz denetimi, belirli cihazların kullanıcıların bilgisayarlarına bağlanmasına izin vererek veya bunları engelleyerek kuruluşunuzun olası veri kaybına, kötü amaçlı yazılımlara veya diğer siber tehditlere karşı korunmasına yardımcı olur. Gelişmiş avcılık ile veya cihaz denetim raporunu kullanarak cihaz denetimi olayları hakkındaki bilgileri görüntüleyebilirsiniz.

Microsoft Defender portalına erişmek için aboneliğinizin E5 için Microsoft 365 raporlamasını içermesi gerekir.

Gelişmiş avcılık ve cihaz denetimi raporu hakkında daha fazla bilgi edinmek için her sekmeyi seçin.

Gelişmiş avcılık örneği

Gelişmiş avcılık örneği

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender Planı 2

Bir cihaz denetimi ilkesi tetiklendiğinde, sistem tarafından mı yoksa oturum açan kullanıcı tarafından mı başlatıldığına bakılmaksızın gelişmiş avcılık ile bir olay görünür. Bu bölüm, gelişmiş avcılıkta kullanabileceğiniz bazı örnek sorguları içerir.

Örnek 1: Disk ve dosya sistemi düzeyi zorlaması tarafından tetiklenen çıkarılabilir depolama ilkesi

Bir RemovableStoragePolicyTriggered eylem gerçekleştiğinde, disk ve dosya sistemi düzeyi zorlaması hakkındaki olay bilgileri kullanılabilir.

İpucu

Şu anda gelişmiş avcılıkta, etkinlikler için RemovableStoragePolicyTriggered cihaz başına günlük 300 etkinlik sınırı vardır. Ek verileri görüntülemek için cihaz denetim raporunu kullanın.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Örnek 2: Çıkarılabilir depolama dosyası olayı

Bir RemovableStorageFileEvent eylemi gerçekleştiğinde, kanıt dosyası hakkındaki bilgiler hem yazıcı koruması hem de çıkarılabilir depolama için kullanılabilir. Gelişmiş avcılık ile kullanabileceğiniz örnek bir sorgu aşağıda verilmişti:

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Cihaz denetimi raporu

Cihaz denetimi raporu

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender Planı 2
• İş için Microsoft Defender

Cihaz denetimi raporuyla, medya kullanımıyla ilgili olayları görüntüleyebilirsiniz. Bu tür olaylar şunlardır:

• Denetim olayları: Dış medya bağlandığında gerçekleşen denetim olaylarının sayısını gösterir.
• İlke olayları: Cihaz denetimi ilkesi tetiklendiğinde gerçekleşen ilke olaylarının sayısını gösterir.

Not

Medya kullanımını izlemeye yönelik denetim olayı, Uç Nokta için Microsoft Defender eklenen cihazlar için varsayılan olarak etkindir.

Denetim olaylarını anlama

Denetim olayları şunlardır:

• USB sürücü bağlama ve çıkarma: BIR USB sürücüsü takıldığında veya çıkarıldığında oluşturulan olayları denetleyin.
• PnP: çıkarılabilir depolama birimi, yazıcı veya Bluetooth medyası bağlandığında Tak ve Kullan denetim olayları oluşturulur.
• Çıkarılabilir depolama birimi erişim denetimi: Çıkarılabilir depolama erişim denetimi ilkesi tetiklendiğinde olaylar oluşturulur. Denetim, Engelleme veya İzin Ver olabilir.

Cihaz denetimi güvenliğini izleme

Uç Nokta için Defender'daki cihaz denetimi, güvenlik yöneticilerine kuruluşlarının cihaz denetimi güvenliğini raporlar aracılığıyla izlemelerini sağlayan araçlarla güçlendiriyor. Cihaz denetim raporunu Microsoft Defender portalında (https://security.microsoft.com ) bulabilirsiniz. Raporlar>Uç Noktaları'na gidin. Cihaz denetim kartını bulun ve raporu açmak için bağlantıyı seçin.

Raporlar panosunda, Cihaz koruma kartı son 180 gün içinde medya türü tarafından oluşturulan denetim olaylarının sayısını gösterir. Ayrıntıları görüntüle'nin altında, son 30 gün içindeki ham olaylar listelenir.

Ayrıntıları görüntüle düğmesi, Cihaz denetimi rapor sayfasında daha fazla medya kullanım verisi gösterir.

Sayfa, tür başına toplam olay sayısı ve olay listesi içeren bir pano sağlar ve sayfa başına 500 olay gösterir, ancak yöneticiyseniz (genel yönetici veya güvenlik yöneticisi gibi), daha fazla olay görmek için ekranı aşağı kaydırabilir ve zaman aralığına, medya sınıfı adına ve cihaz kimliğine göre filtreleyebilirsiniz.

Bir olayı seçtiğinizde, size daha fazla bilgi gösteren bir açılır öğe görüntülenir:

• Genel ayrıntılar: Tarih, Eylem modu, ilke ve Bu olayın Erişimi.
• Medya bilgileri: Medya bilgileri Medya adı, Sınıf adı, Sınıf GUID'si, Cihaz Kimliği, Satıcı Kimliği, Seri numarası ve Veri Yolu türünü içerir.
• Konum ayrıntıları: Cihaz adı, Kullanıcı ve MDATP cihaz kimliği.

Kuruluş genelinde bu medyanın gerçek zamanlı etkinliğini görmek için Gelişmiş Avcılığı Aç düğmesini seçin. Bu ekli, önceden tanımlanmış bir sorguyu içerir.

Cihazın güvenliğini görmek için açılır listede Cihazı aç sayfası düğmesini seçin. Bu düğme, cihaz varlığı sayfasını açar.

Raporlama gecikmeleri

Medya bağlantısının gerçekleşmesinden olayın karta veya etki alanı listesine yansıtılması arasında altı saate kadar bir gecikme olabilir.

Not

Olay listesi gibi verileri cihaz denetim raporundan Excel'e aktardığınızda, en fazla 500 olay dışarı aktarılır. Ancak kuruluşunuz Microsoft Sentinel kullanıyorsa, tüm olayların ve uyarıların akışının gerçekleştirilmesi için Uç Nokta için Defender'ı Sentinel ile tümleştirebilirsiniz. Daha fazla bilgi için bkz. Microsoft Defender XDR'dan Microsoft Sentinel'e veri bağlama.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.

Ayrıca bkz.

• Uç Nokta için Microsoft Defender'de cihaz denetimi
• macOS için Cihaz Denetimi