在 Microsoft Defender for Endpoint 中查看设备控制事件和信息
Microsoft Defender for Endpoint 设备控制通过允许或阻止某些设备连接到用户的计算机来帮助保护组织免受潜在的数据丢失、恶意软件或其他网络威胁。 安全团队可以通过高级搜寻或使用设备控制报告来查看有关设备控制事件的信息。
重要
Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
若要访问 Microsoft Defender 门户,订阅必须包含 Microsoft 365 for E5 报告。
选择每个选项卡,详细了解高级搜寻和设备控制报告。
高级搜寻
适用于:
触发设备控制策略时,无论事件是由系统还是登录的用户发起的,都会通过高级搜寻来显示事件。 本部分包括可在高级搜寻中使用的一些示例查询。
示例 1:磁盘和文件系统级别强制实施触发的可移动存储策略
发生操作 RemovableStoragePolicyTriggered
时,有关磁盘和文件系统级别强制实施的事件信息可用。
提示
目前,在高级搜寻中,每个设备每天的事件限制为 RemovableStoragePolicyTriggered
300 个事件。 使用设备控制报告查看其他数据。
//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。