Share via

在 Microsoft Defender for Endpoint 中查看设备控制事件和信息

  • 项目

Microsoft Defender for Endpoint设备控制通过允许或阻止某些设备连接到用户的计算机来帮助保护组织免受潜在的数据丢失、恶意软件或其他网络威胁。 可以通过高级搜寻或使用设备控制报告来查看有关设备控制事件的信息。

若要访问Microsoft Defender门户,订阅必须包含 Microsoft 365 for E5 报告。

选择每个选项卡,详细了解高级搜寻和设备控制报告。

高级搜寻

适用于:

触发设备控制策略时,无论事件是由系统还是登录的用户发起的,都会通过高级搜寻来显示事件。 本部分包括可在高级搜寻中使用的一些示例查询。

示例 1:磁盘和文件系统级别强制实施触发的可移动存储策略

发生操作 RemovableStoragePolicyTriggered 时,有关磁盘和文件系统级别强制实施的事件信息可用。

提示

目前,在高级搜寻中,每个设备每天的事件限制为 RemovableStoragePolicyTriggered 300 个事件。 使用设备控制报告查看其他数据。


//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

示例 2:可移动存储文件事件

如果策略配置为收集文件证据,则会 RemovableStorageFileEvent 创建 。 为打印机和可移动存储设备生成事件。 下面是可用于高级搜寻的示例查询:


//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

注意

RemovableStorageFileEvent 将文件复制到设备后,不会立即显示 。 可能需要长达 24 小时才能出现。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区

另请参阅