適用於端點的 Microsoft Defender 裝置控制,透過允許或阻止特定裝置連接使用者電腦,幫助保護您的組織免受潛在的資料遺失、惡意軟體或其他網路威脅。 您的資安團隊可以透過進階搜尋或使用裝置控制報告來查看裝置控制事件的資訊。
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
要存取 Microsoft Defender 入口網站,您的訂閱必須包含 Microsoft 365 for E5 報告。
選擇每個分頁以了解更多關於進階狩獵及裝置控制報告的資訊。
進階搜捕
當裝置控制政策被觸發時,事件會以進階搜尋方式顯示,無論事件是由系統發起還是登入使用者發起。 本節包含一些你可以在進階狩獵中使用的範例查詢。
範例 1:由磁碟與檔案系統層級強制觸發的可移除儲存政策
當動作 RemovableStoragePolicyTriggered 發生時,會提供關於磁碟及檔案系統層級強制執行的事件資訊。
提示
目前在進階狩獵中,每個裝置 RemovableStoragePolicyTriggered 每天活動數量限制為300個事件。 使用裝置控制報告查看更多資料。
//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
「開放進階狩獵 」。 這包括一個嵌入式、預先定義的查詢。
提示
想要深入了解? Engage 與 Microsoft Security 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群。