Zobrazení událostí a informací ovládacího prvku zařízení v Microsoft Defender for Endpoint

Microsoft Defender for Endpoint řízení zařízení pomáhá chránit vaši organizaci před potenciální ztrátou dat, malwarem nebo jinými kybernetickými hrozbami tím, že umožňuje nebo zabraňuje připojení určitých zařízení k počítačům uživatelů. Informace o událostech řízení zařízení můžete zobrazit pomocí rozšířeného proaktivního vyhledávání nebo pomocí sestavy řízení zařízení.

Pokud chcete získat přístup k portálu Microsoft Defender, musí vaše předplatné obsahovat microsoft 365 pro vytváření sestav E5.

Výběrem jednotlivých karet získáte další informace o rozšířeném proaktivním vyhledávání a sestavě ovládacích prvků zařízení.

Pokročilé rozšířené proaktivní vyhledávání

Pokročilé rozšířené proaktivní vyhledávání

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod

Když se aktivuje zásada řízení zařízení, je událost viditelná s pokročilým proaktivním vyhledáváním bez ohledu na to, jestli byla inicializována systémem nebo uživatelem, který se přihlásil. Tato část obsahuje některé ukázkové dotazy, které můžete použít při rozšířeném proaktivního vyhledávání.

Příklad 1: Zásady vyměnitelného úložiště aktivované vynucením na úrovni disku a systému souborů

RemovableStoragePolicyTriggered Když dojde k akci, jsou k dispozici informace o události týkající se vynucování na úrovni disku a systému souborů.

Tip

V současné době při rozšířeném proaktivním vyhledávání existuje limit 300 událostí na zařízení za den RemovableStoragePolicyTriggered . K zobrazení dalších dat použijte sestavu ovládacího prvku zařízení.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Příklad 2: Událost vyměnitelného souboru úložiště

Když dojde k akci RemovableStorageFileEvent, jsou informace o souboru důkazů k dispozici pro ochranu tiskárny i vyměnitelné úložiště. Tady je příklad dotazu, který můžete použít s pokročilým proaktivním vyhledáváním:

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Sestava řízení zařízení

Sestava řízení zařízení

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender pro firmy

Pomocí sestavy ovládacích prvků zařízení můžete zobrazit události související s používáním médií. Mezi tyto události patří:

• Události auditu: Zobrazuje počet událostí auditu, ke kterým dochází při připojení externího média.
• Události zásad: Zobrazuje počet událostí zásad, ke kterým dochází při aktivaci zásady řízení zařízení.

Poznámka

Událost auditu pro sledování využití médií je ve výchozím nastavení povolená pro zařízení nasazená do Microsoft Defender for Endpoint.

Vysvětlení událostí auditu

Mezi události auditu patří:

• Připojení a odpojení usb flash disku: Události auditu, které se vygenerují při připojení nebo odpojení USB flash disku.
• PnP: technologie Plug and Play události auditu se generují při připojení vyměnitelného úložiště, tiskárny nebo média Bluetooth.
• Řízení přístupu k vyměnitelnému úložišti: Události se generují při aktivaci zásad řízení přístupu k vyměnitelnému úložišti. Může to být Audit, Blokovat nebo Povolit.

Monitorování zabezpečení řízení zařízení

Řízení zařízení v Defenderu for Endpoint umožňuje správcům zabezpečení nástroje, které jim umožňují sledovat zabezpečení řízení zařízení jejich organizace prostřednictvím sestav. Sestavu ovládacích prvků zařízení najdete na portálu Microsoft Defender (https://security.microsoft.com). Přejděte naKoncové bodysestav>. Vyhledejte řídicí kartu Zařízení a výběrem odkazu otevřete sestavu.

Na řídicím panelu Sestavy se na kartě Ochrana zařízení zobrazuje počet událostí auditu vygenerovaných podle typu média za posledních 180 dnů. V části Zobrazit podrobnosti jsou uvedené nezpracované události za posledních 30 dnů.

Tlačítko Zobrazit podrobnosti zobrazuje další data o využití médií na stránce sestavy ovládacích prvků zařízení .

Stránka poskytuje řídicí panel s agregovaným počtem událostí na typ a seznamem událostí a zobrazuje 500 událostí na stránce, ale pokud jste správce (například globální správce nebo správce zabezpečení), můžete se posunout dolů a zobrazit další události a filtrovat podle časového rozsahu, názvu třídy médií a ID zařízení.

Když vyberete událost, zobrazí se informační panel s dalšími informacemi:

• Obecné podrobnosti: Datum, režim akce, zásady a přístup k této události.
• Informace o médiích: Informace o médiu zahrnují název média, název třídy, IDENTIFIKÁTOR GUID třídy, ID zařízení, ID dodavatele, sériové číslo a typ sběrnice.
• Podrobnosti o poloze: Název zařízení, uživatel a ID zařízení MDATP.

Pokud chcete zobrazit aktivitu tohoto média v reálném čase v celé organizaci, vyberte tlačítko Otevřít rozšířené vyhledávání . To zahrnuje vložený, předdefinovaný dotaz.

Pokud chcete zobrazit zabezpečení zařízení, vyberte v informačním rámečku tlačítko Otevřít stránku zařízení . Toto tlačítko otevře stránku entity zařízení.

Hlášení zpoždění

Od okamžiku, kdy dojde k připojení k médiím, do okamžiku, kdy se událost projeví na kartě nebo v seznamu domén, může trvat až šest hodin.

Poznámka

Když exportujete data, například seznam událostí, ze sestavy řízení zařízení do Excelu, exportuje se až 500 událostí. Pokud ale vaše organizace používá Microsoft Sentinel, můžete defender for Endpoint integrovat se službou Sentinel, aby se streamovaly všechny incidenty a výstrahy. Další informace najdete v tématu Připojení dat z Microsoft Defender XDR ke službě Microsoft Sentinel.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.

Viz také

• Ovládání zařízení v Microsoft Defender for Endpoint
• Správa zařízení pro macOS