Få vist hændelser og oplysninger om enhedskontrolelementer i Microsoft Defender for Endpoint

Microsoft Defender for Endpoint enhedskontrol hjælper med at beskytte din organisation mod potentielt tab af data, malware eller andre cybertrusler ved at tillade eller forhindre, at visse enheder har forbindelse til brugernes computere. Du kan få vist oplysninger om enhedskontrolhændelser med avanceret jagt eller ved hjælp af rapporten over enhedskontrol.

Hvis du vil have adgang til Microsoft Defender-portalen, skal dit abonnement indeholde Microsoft 365 til E5-rapportering.

Vælg hver fane for at få mere at vide om avanceret jagt og rapporten over enhedskontrol.

Avanceret jagt

Avanceret jagt

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Når en politik for enhedskontrol udløses, er en hændelse synlig med avanceret jagt, uanset om den er initieret af systemet eller af den bruger, der loggede på. Dette afsnit indeholder nogle eksempelforespørgsler, som du kan bruge i avanceret jagt.

Eksempel 1: Politik for flytbart lager, der udløses af gennemtvingelse på disk- og filsystemniveau

Når der forekommer en RemovableStoragePolicyTriggered handling, er hændelsesoplysninger om gennemtvingelsen af disk- og filsystemet tilgængelig.

Tip

I øjeblikket er der i avanceret jagt en grænse på 300 hændelser pr. enhed pr. dag for RemovableStoragePolicyTriggered begivenheder. Brug rapporten over enhedskontrol til at få vist yderligere data.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Eksempel 2: Hændelse for flytbar lagerfil

Hvis en politik er konfigureret til at indsamle filbeviser, oprettes der en RemovableStorageFileEvent . Hændelsen genereres for både printere og flytbare lagerenheder. Her er et eksempel på en forespørgsel, du kan bruge med avanceret jagt:

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Bemærk!

RemovableStorageFileEvent vises ikke umiddelbart efter, at en fil er kopieret til enheden. Det kan tage op til 24 timer at blive vist.

Rapport over enhedskontrol

Rapport over enhedskontrol

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

Med rapporten over enhedskontrol kan du få vist hændelser, der er relateret til medieforbrug. Sådanne hændelser omfatter:

• Overvågningshændelser: Viser antallet af overvågningshændelser, der opstår, når der er forbindelse til eksterne medier.
• Politikhændelser: Viser antallet af politikhændelser, der opstår, når en politik for enhedskontrol udløses.

Bemærk!

Overvågningshændelsen til sporing af medieforbrug er som standard aktiveret for enheder, der er onboardet til Microsoft Defender for Endpoint.

Om overvågningshændelserne

Overvågningshændelserne omfatter:

• Tilslutning og afmontering af USB-drev: Overvågningshændelser, der genereres, når et USB-drev er tilsluttet eller ikke er tilsluttet.
• PnP: Plug and Play overvågningshændelser genereres, når der er tilsluttet et flytbart lager, en printer eller et Bluetooth-medie.
• Adgangskontrol til flytbart lager: Hændelser genereres, når en politik for adgangskontrol til flytbare lagermedier udløses. Det kan være Overvågning, Bloker eller Tillad.

Overvåg sikkerhed for enhedskontrol

Enhedskontrol i Defender for Endpoint giver sikkerhedsadministratorer værktøjer, der gør det muligt for dem at spore deres organisations enhedskontrolsikkerhed via rapporter. Du kan finde rapporten over enhedskontrol på Microsoft Defender-portalen (https://security.microsoft.com). Gå tilSlutpunkter for rapporter>. Find enhedens kontrolkort , og vælg linket for at åbne rapporten.

På dashboardet Rapporter viser kortet Enhedsbeskyttelse antallet af overvågningshændelser, der genereres af medietypen, i løbet af de sidste 180 dage. Under Vis detaljer vises rå hændelser for de sidste 30 dage.

Knappen Vis detaljer viser flere data om medieforbrug på rapportsiden Enhedskontrol .

Siden indeholder et dashboard med et samlet antal hændelser pr. type og en liste over hændelser og viser 500 hændelser pr. side, men hvis du er administrator (f.eks. en global administrator eller sikkerhedsadministrator), kan du rulle ned for at se flere hændelser og kan filtrere efter tidsinterval, medieklassenavn og enheds-id.

Når du vælger en hændelse, vises der et pop op-vindue, der viser flere oplysninger:

• Generelle oplysninger: Dato, Handlingstilstand, politikken og Adgang for denne hændelse.
• Medieoplysninger: Medieoplysninger omfatter Medienavn, Klassenavn, Klasse-GUID, Enheds-id, Leverandør-id, Serienummer og Bustype.
• Oplysninger om placering: Enhedsnavn, Bruger og MDATP-enheds-id.

Hvis du vil se aktivitet i realtid for dette medie på tværs af organisationen, skal du vælge knappen Åbn avanceret jagt . Dette omfatter en integreret, foruddefineret forespørgsel.

Hvis du vil se sikkerheden for enheden, skal du vælge knappen Åbn enhedside på pop op-vinduet. Denne knap åbner enhedens enhedsside.

Rapporteringsforsinkelser

Der kan være en forsinkelse på op til seks timer fra det tidspunkt, hvor en medieforbindelse opstår, til det tidspunkt, hvor hændelsen afspejles på kortet eller på domænelisten.

Bemærk!

Når du eksporterer data, f.eks. en liste over hændelser, fra rapporten over enhedskontrol til Excel, eksporteres der op til 500 hændelser. Men hvis din organisation bruger Microsoft Sentinel, kan du integrere Defender for Endpoint med Sentinel, så alle hændelser og beskeder streames. Du kan få flere oplysninger under Opret forbindelse mellem data fra Microsoft Defender XDR og Microsoft Sentinel.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.

Se også

• Enhedskontrol i Microsoft Defender for Endpoint
• Enhedshåndtering til macOS