Zobrazení událostí a informací ovládacího prvku zařízení v Microsoft Defender for Endpoint
Microsoft Defender for Endpoint řízení zařízení pomáhá chránit vaši organizaci před potenciální ztrátou dat, malwarem nebo jinými kybernetickými hrozbami tím, že umožňuje nebo zabraňuje připojení určitých zařízení k počítačům uživatelů. Informace o událostech řízení zařízení můžete zobrazit pomocí rozšířeného proaktivního vyhledávání nebo pomocí sestavy řízení zařízení.
Pokud chcete získat přístup k portálu Microsoft Defender, musí vaše předplatné obsahovat microsoft 365 pro vytváření sestav E5.
Výběrem jednotlivých karet získáte další informace o rozšířeném proaktivním vyhledávání a sestavě ovládacích prvků zařízení.
Pokročilé rozšířené proaktivní vyhledávání
Platí pro:
Když se aktivuje zásada řízení zařízení, je událost viditelná s pokročilým proaktivním vyhledáváním bez ohledu na to, jestli byla inicializována systémem nebo uživatelem, který se přihlásil. Tato část obsahuje některé ukázkové dotazy, které můžete použít při rozšířeném proaktivního vyhledávání.
Příklad 1: Zásady vyměnitelného úložiště aktivované vynucením na úrovni disku a systému souborů
RemovableStoragePolicyTriggered
Když dojde k akci, jsou k dispozici informace o události týkající se vynucování na úrovni disku a systému souborů.
Tip
V současné době při rozšířeném proaktivním vyhledávání existuje limit 300 událostí na zařízení za den RemovableStoragePolicyTriggered
. K zobrazení dalších dat použijte sestavu ovládacího prvku zařízení.
//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
Příklad 2: Událost vyměnitelného souboru úložiště
Když dojde k akci RemovableStorageFileEvent, jsou informace o souboru důkazů k dispozici pro ochranu tiskárny i vyměnitelné úložiště. Tady je příklad dotazu, který můžete použít s pokročilým proaktivním vyhledáváním:
//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Viz také
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro