Wyświetlanie zdarzeń i informacji dotyczących sterowania urządzeniami w Ochrona punktu końcowego w usłudze Microsoft Defender

Zaawansowane wyszukiwanie zagrożeń

Po wyzwoleniu zasad kontroli urządzenia zdarzenie jest widoczne z zaawansowanym wyszukiwaniem zagrożeń, niezależnie od tego, czy zostało zainicjowane przez system, czy przez użytkownika, który się zalogował. Ta sekcja zawiera kilka przykładowych zapytań, których można użyć w zaawansowanym wyszukiwaniu zagrożeń.

Przykład 1: Zasady magazynu wymiennego wyzwalane przez wymuszanie na poziomie dysku i systemu plików

W przypadku wykonania RemovableStoragePolicyTriggered akcji są dostępne informacje o zdarzeniu dotyczące wymuszania na poziomie dysku i systemu plików.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Raport kontroli urządzenia

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender dla Firm

Raport kontroli urządzenia umożliwia wyświetlanie zdarzeń związanych z użyciem multimediów. Takie zdarzenia obejmują:

• Zdarzenia inspekcji: Przedstawia liczbę zdarzeń inspekcji występujących po nawiązaniu połączenia z nośnikiem zewnętrznym.
• Zdarzenia zasad: Pokazuje liczbę zdarzeń zasad występujących po wyzwoleniu zasad sterowania urządzeniami.

Omówienie zdarzeń inspekcji

Zdarzenia inspekcji obejmują:

• Instalowanie i odinstalowywanie dysku USB: Przeprowadź inspekcję zdarzeń generowanych podczas instalowania lub odinstalowyowania dysku USB.
• PnP: Plug and Play zdarzenia inspekcji są generowane podczas podłączania magazynu wymiennego, drukarki lub nośnika Bluetooth.
• Kontrola dostępu do magazynu wymiennego: Zdarzenia są generowane po wyzwoleniu zasad kontroli dostępu magazynu wymiennego. Może to być inspekcja, blokowanie lub zezwalanie.

Monitorowanie zabezpieczeń sterowania urządzeniami

Kontrola urządzeń w usłudze Defender for Endpoint umożliwia administratorom zabezpieczeń korzystanie z narzędzi, które umożliwiają im śledzenie zabezpieczeń kontroli urządzeń w organizacji za pośrednictwem raportów. Raport kontroli urządzenia można znaleźć w portalu Microsoft Defender (https://security.microsoft.com). Przejdź dopozycji Punkty końcowe raportów>. Znajdź kartę Kontrolka urządzenia i wybierz link, aby otworzyć raport.

Na pulpicie nawigacyjnym Raporty na karcie Ochrona urządzenia jest wyświetlana liczba zdarzeń inspekcji generowanych przez typ nośnika w ciągu ostatnich 180 dni. W obszarze Wyświetl szczegóły wyświetlane są nieprzetworzone zdarzenia z ostatnich 30 dni.

Przycisk Wyświetl szczegóły zawiera więcej danych użycia multimediów na stronie Raport kontrolki urządzenia .

Strona zawiera pulpit nawigacyjny z zagregowaną liczbą zdarzeń na typ oraz listę zdarzeń i pokazuje 500 zdarzeń na stronę, ale jeśli jesteś administratorem (takim jak administrator zabezpieczeń), możesz przewinąć w dół, aby wyświetlić więcej zdarzeń i filtrować zakres czasu, nazwę klasy multimediów i identyfikator urządzenia.

Po wybraniu zdarzenia zostanie otwarte okno wysuwane szczegóły informacji o zdarzeniu , aby wyświetlić więcej informacji:

• Szczegóły ogólne: Data, tryb akcji, zasady i dostęp do tego zdarzenia.
• Informacje o multimediach: Informacje o nośniku obejmują nazwę nośnika, nazwę klasy, identyfikator GUID klasy, identyfikator urządzenia, identyfikator dostawcy, numer seryjny i typ magistrali.
• Szczegóły lokalizacji: Nazwa urządzenia, użytkownik i identyfikator urządzenia MDATP.

Aby wyświetlić aktywność w czasie rzeczywistym dla tego nośnika w całej organizacji, wybierz pozycję Otwórz zaawansowane wyszukiwanie zagrożeń w górnej części wysuwanego menu. Obejmuje to osadzone, wstępnie zdefiniowane zapytanie.

Aby wyświetlić zabezpieczenia urządzenia, wybierz przycisk Otwórz stronę urządzenia w dolnej części okna wysuwanego. Ten przycisk otwiera stronę jednostki urządzenia.

Raportowanie opóźnień

Może wystąpić opóźnienie do sześciu godzin od momentu nawiązania połączenia z nośnikiem do momentu, w którym zdarzenie zostanie odzwierciedlone na karcie lub na liście domen.