共用方式為


在適用於端點的 Microsoft Defender 中檢視裝置控制事件和資訊

Microsoft適用於端點的 Defender 裝置控制可允許或防止特定裝置連線到使用者的電腦,以協助保護貴組織免於潛在的數據遺失、惡意代碼或其他網路威脅。 您的安全性小組可以使用進階搜捕或使用裝置控制報告來檢視裝置控制事件的相關信息。

重要事項

Microsoft建議您使用許可權最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。

若要 存取 Microsoft Defender 入口網站,您的訂用帳戶必須包含 Microsoft 365 for E5 報告。

選取每個索引標籤,以深入瞭解進階搜捕和裝置控件報告。

進階搜捕

適用於:

觸發裝置控制原則時,不論事件是由系統或登入的使用者所起始,都可透過進階搜捕來顯示事件。 本節包含一些您可以在進階搜捕中使用的查詢範例。

範例 1:磁碟和文件系統層級強制執行所觸發的卸除式儲存原則

RemovableStoragePolicyTriggered發生動作時,可取得有關磁碟和文件系統層級強制執行的事件資訊。

提示

目前,在進階搜捕中,每個裝置每天針對事件限製為 RemovableStoragePolicyTriggered 300個事件。 使用裝置控制項報表來檢視其他數據。


//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。

另請參閱