在 Microsoft Defender for Endpoint 中查看设备控制事件和信息

Microsoft Defender for Endpoint 设备控制通过允许或阻止某些设备连接到用户的计算机来帮助保护组织免受潜在的数据丢失、恶意软件或其他网络威胁。 安全团队可以通过高级搜寻或使用设备控制报告来查看有关设备控制事件的信息。

重要

Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色，在无法使用现有角色时，应仅限于紧急情况。

若要访问 Microsoft Defender 门户，订阅必须包含 Microsoft 365 for E5 报告。

选择每个选项卡，详细了解高级搜寻和设备控制报告。

高级搜寻

高级搜寻

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2

触发设备控制策略时，无论事件是由系统还是登录的用户发起的，都会通过高级搜寻来显示事件。 本部分包括可在高级搜寻中使用的一些示例查询。

示例 1：磁盘和文件系统级别强制实施触发的可移动存储策略

发生操作 RemovableStoragePolicyTriggered 时，有关磁盘和文件系统级别强制实施的事件信息可用。

提示

目前，在高级搜寻中，每个设备每天的事件限制为 RemovableStoragePolicyTriggered 300 个事件。 使用设备控制报告查看其他数据。

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

设备控制报告

设备控制报告

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender 商业版

使用设备控制报表，可以查看与媒体使用情况相关的事件。 此类事件包括：

• 审核事件： 显示连接外部媒体时发生的审核事件数。
• 策略事件： 显示触发设备控制策略时发生的策略事件数。

注意

默认情况下，为载入到 Microsoft Defender for Endpoint 的设备启用用于跟踪媒体使用情况的审核事件。

了解审核事件

审核事件包括：

• USB 驱动器装载和卸载： 审核装载或卸载 USB 驱动器时生成的事件。
• PnP： 连接可移动存储、打印机或蓝牙媒体时，将生成即插即用审核事件。
• 可移动存储访问控制： 触发可移动存储访问控制策略时，会生成事件。 它可以是“审核”、“阻止”或“允许”。

监视设备控制安全性

Defender for Endpoint 中的设备控制使安全管理员能够使用工具通过报告跟踪组织的设备控制安全性。 可以在 Microsoft Defender 门户 () https://security.microsoft.com 中找到设备控制报表。 转到 “报表>终结点”。 找到 “设备控制 卡”，然后选择链接以打开报表。

在 “报表” 仪表板中， “设备保护 ”卡显示过去 180 天内媒体类型生成的审核事件数。 在 “查看详细信息”下，列出了过去 30 天的原始事件。

“ 查看详细信息 ”按钮在 “设备控件报告 ”页中显示更多媒体使用情况数据。

该页提供一个仪表板，其中包含每个类型的聚合事件数和事件列表，每页显示 500 个事件，但如果你是管理员 (（如安全管理员) ），则可以向下滚动查看更多事件，并可以筛选时间范围、媒体类名称和设备 ID。

选择事件时，将显示一个浮出控件，其中显示详细信息：

• 常规详细信息： 此事件的日期、操作模式、策略和访问权限。
• 媒体信息： 媒体信息包括媒体名称、类名称、类 GUID、设备 ID、供应商 ID、序列号和总线类型。
• 位置详细信息： 设备名称、用户和 MDATP 设备 ID。

若要查看整个组织中的此媒体的实时活动，请选择“ 打开高级搜寻 ”按钮。 这包括嵌入的预定义查询。

若要查看设备的安全性，请选择浮出控件上的“ 打开设备页 ”按钮。 此按钮将打开设备实体页。

报告延迟

从媒体连接发生到事件反映在卡或域列表中的时间，最多可能会有 6 小时的延迟。

注意

将数据（例如事件列表）从设备控件报表导出到 Excel 时，最多可导出 500 个事件。 但是，如果组织使用 Microsoft Sentinel，则可以将 Defender for Endpoint 与 Sentinel 集成，以便流式传输所有事件和警报。 有关详细信息，请参阅 将数据从 Microsoft Defender XDR 连接到 Microsoft Sentinel。

提示

想要了解更多信息？ 在技术社区中与 Microsoft 安全社区互动： Microsoft Defender for Endpoint 技术社区。

另请参阅

• Microsoft Defender for Endpoint 中的设备控制
• 适用于 macOS 的设备控制