Zobrazení událostí a informací o řízení zařízení v Microsoft Defenderu for Endpoint

Řízení zařízení v programu Microsoft Defender for Endpoint pomáhá chránit vaši organizaci před potenciální ztrátou dat, malwarem nebo jinými kybernetickými hrozbami tím, že umožňuje nebo brání připojení určitých zařízení k počítačům uživatelů. Váš bezpečnostní tým může zobrazit informace o událostech řízení zařízení pomocí rozšířeného proaktivního vyhledávání nebo pomocí sestavy řízení zařízení.

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Pokud chcete získat přístup k portálu Microsoft Defender, vaše předplatné musí obsahovat microsoft 365 pro vytváření sestav E5.

Výběrem jednotlivých karet získáte další informace o rozšířeném proaktivním vyhledávání a sestavě ovládacích prvků zařízení.

Pokročilé rozšířené proaktivní vyhledávání

Pokročilé rozšířené proaktivní vyhledávání

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod

Když se aktivuje zásada řízení zařízení, je událost viditelná s pokročilým proaktivním vyhledáváním bez ohledu na to, jestli byla inicializována systémem nebo uživatelem, který se přihlásil. Tato část obsahuje některé ukázkové dotazy, které můžete použít při rozšířeném proaktivního vyhledávání.

Příklad 1: Zásady vyměnitelného úložiště aktivované vynucením na úrovni disku a systému souborů

RemovableStoragePolicyTriggered Když dojde k akci, jsou k dispozici informace o události týkající se vynucování na úrovni disku a systému souborů.

Tip

V současné době při rozšířeném proaktivním vyhledávání existuje limit 300 událostí na zařízení za den RemovableStoragePolicyTriggered . K zobrazení dalších dat použijte sestavu ovládacího prvku zařízení.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Sestava řízení zařízení

Sestava řízení zařízení

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender pro firmy

Pomocí sestavy ovládacích prvků zařízení můžete zobrazit události související s používáním médií. Mezi tyto události patří:

• Události auditu: Zobrazuje počet událostí auditu, ke kterým dochází při připojení externího média.
• Události zásad: Zobrazuje počet událostí zásad, ke kterým dochází při aktivaci zásady řízení zařízení.

Poznámka

Událost auditu pro sledování využití médií je ve výchozím nastavení povolená pro zařízení nasazená do Microsoft Defenderu for Endpoint.

Vysvětlení událostí auditu

Mezi události auditu patří:

• Připojení a odpojení usb flash disku: Události auditu, které se vygenerují při připojení nebo odpojení USB flash disku.
• Pnp: Události auditu Plug and Play se generují při připojení vyměnitelného úložiště, tiskárny nebo média Bluetooth.
• Řízení přístupu k vyměnitelnému úložišti: Události se generují při aktivaci zásad řízení přístupu k vyměnitelnému úložišti. Může to být Audit, Blokovat nebo Povolit.

Monitorování zabezpečení řízení zařízení

Řízení zařízení v Defenderu for Endpoint umožňuje správcům zabezpečení nástroje, které jim umožňují sledovat zabezpečení řízení zařízení jejich organizace prostřednictvím sestav. Sestavu ovládacích prvků zařízení najdete na portálu Microsoft Defender (https://security.microsoft.com). Přejděte naKoncové bodysestav>. Vyhledejte řídicí kartu Zařízení a výběrem odkazu otevřete sestavu.

Na řídicím panelu Sestavy se na kartě Ochrana zařízení zobrazuje počet událostí auditu vygenerovaných podle typu média za posledních 180 dnů. V části Zobrazit podrobnosti jsou uvedené nezpracované události za posledních 30 dnů.

Tlačítko Zobrazit podrobnosti zobrazuje další data o využití médií na stránce sestavy ovládacích prvků zařízení .

Stránka poskytuje řídicí panel s agregovaným počtem událostí na typ a seznamem událostí a zobrazuje 500 událostí na stránce, ale pokud jste správce (například správce zabezpečení), můžete se posunout dolů a zobrazit další události a filtrovat časový rozsah, název třídy médií a ID zařízení.

Když vyberete událost, zobrazí se informační panel s dalšími informacemi:

• Obecné podrobnosti: Datum, režim akce, zásady a přístup k této události.
• Informace o médiích: Informace o médiu zahrnují název média, název třídy, IDENTIFIKÁTOR GUID třídy, ID zařízení, ID dodavatele, sériové číslo a typ sběrnice.
• Podrobnosti o poloze: Název zařízení, uživatel a ID zařízení MDATP.

Pokud chcete zobrazit aktivitu tohoto média v reálném čase v celé organizaci, vyberte tlačítko Otevřít rozšířené vyhledávání . To zahrnuje vložený, předdefinovaný dotaz.

Pokud chcete zobrazit zabezpečení zařízení, vyberte v informačním rámečku tlačítko Otevřít stránku zařízení . Toto tlačítko otevře stránku entity zařízení.

Hlášení zpoždění

Od okamžiku, kdy dojde k připojení k médiím, do okamžiku, kdy se událost projeví na kartě nebo v seznamu domén, může trvat až šest hodin.

Poznámka

Když exportujete data, například seznam událostí, ze sestavy řízení zařízení do Excelu, exportuje se až 500 událostí. Pokud ale vaše organizace používá Microsoft Sentinel, můžete defender for Endpoint integrovat se službou Sentinel, aby se streamovaly všechny incidenty a výstrahy. Další informace najdete v tématu Připojení dat z Microsoft DefenderU XDR ke službě Microsoft Sentinel.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.

Viz také

• Řízení zařízení v Microsoft Defenderu for Endpoint
• Správa zařízení pro macOS