Wyświetlanie zdarzeń i informacji dotyczących sterowania urządzeniami w usłudze Microsoft Defender dla punktu końcowego
Kontrola urządzeń w usłudze Microsoft Defender for Endpoint pomaga chronić organizację przed potencjalną utratą danych, złośliwym oprogramowaniem lub innymi zagrożeniami cybernetycznymi, zezwalając na połączenie niektórych urządzeń z komputerami użytkowników lub uniemożliwiając ich łączenie. Twój zespół ds. zabezpieczeń może wyświetlać informacje o zdarzeniach kontroli urządzeń z zaawansowanym wyszukiwaniem zagrożeń lub za pomocą raportu kontroli urządzenia.
Ważna
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Aby uzyskać dostęp do portalu usługi Microsoft Defender, Twoja subskrypcja musi obejmować usługę Microsoft 365 na potrzeby raportowania E5.
Wybierz każdą kartę, aby dowiedzieć się więcej na temat zaawansowanego wyszukiwania zagrożeń i raportu kontroli urządzenia.
Zaawansowane wyszukiwanie zagrożeń
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
Po wyzwoleniu zasad kontroli urządzenia zdarzenie jest widoczne z zaawansowanym wyszukiwaniem zagrożeń, niezależnie od tego, czy zostało zainicjowane przez system, czy przez użytkownika, który się zalogował. Ta sekcja zawiera kilka przykładowych zapytań, których można użyć w zaawansowanym wyszukiwaniu zagrożeń.
Przykład 1: Zasady magazynu wymiennego wyzwalane przez wymuszanie na poziomie dysku i systemu plików
W przypadku wykonania RemovableStoragePolicyTriggered
akcji są dostępne informacje o zdarzeniu dotyczące wymuszania na poziomie dysku i systemu plików.
Porada
Obecnie w przypadku zaawansowanego wyszukiwania zagrożeń istnieje limit 300 zdarzeń na urządzenie dziennie dla RemovableStoragePolicyTriggered
zdarzeń. Użyj raportu kontroli urządzenia, aby wyświetlić dodatkowe dane.
//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
Porada
Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.