Näytä laitteen hallintatapahtumat ja -tiedot Microsoft Defender for Endpoint

Microsoft Defender for Endpoint laitehallinta auttaa suojaamaan organisaatiotasi mahdollisilta tietojen menetyksiltä, haittaohjelmilta tai muilta kyberuhilta sallimalla tai estämällä tiettyjen laitteiden yhteyden käyttäjien tietokoneisiin. Voit tarkastella tietoja laitteen hallintatapahtumista kehittyneellä metsästyksellä tai laitteen hallintaraportin avulla.

Jotta voit käyttää Microsoft Defender-portaalia, tilauksesi on sisällettävä Microsoft 365 for E5 -raportointi.

Valitsemalla kunkin välilehden saat lisätietoja kehittyneestä metsästyksestä ja laitteen hallintaraportista.

Tarkennettu etsintä

Tarkennettu etsintä

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Kun laitteen ohjausobjektikäytäntö käynnistetään, tapahtuma näkyy kehittyneellä metsästyksellä riippumatta siitä, onko sen käynnistänyt järjestelmä vai kirjautunut käyttäjä. Tässä osiossa on joitakin esimerkkikyselyitä, joita voit käyttää kehittyneessä metsästyksessä.

Esimerkki 1: Levy- ja tiedostojärjestelmätason pakottamisen käynnistämä siirrettävän tallennusvälineen käytäntö

RemovableStoragePolicyTriggered Kun toiminto suoritetaan, käytettävissä on levy- ja tiedostojärjestelmätason pakottamista koskevia tapahtumatietoja.

Vihje

Tällä hetkellä kehittyneessä metsästyksessä tapahtumarajoitus on 300 tapahtumaa päivässä laitetta kohti RemovableStoragePolicyTriggered . Laitteen hallintaraportin avulla voit tarkastella lisätietoja.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Esimerkki 2: Siirrettävän tallennustiedoston tapahtuma

Kun RemovableStorageFileEvent-toiminto suoritetaan, näyttötiedostoa koskevat tiedot ovat käytettävissä sekä tulostimen suojauksessa että siirrettävässä tallennusvälineessä. Tässä on esimerkkikysely, jota voit käyttää kehittyneen metsästyksen kanssa:

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Laitteen hallintaraportti

Laitteen hallintaraportti

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

Laitteen hallintaraportin avulla voit tarkastella tapahtumia, jotka liittyvät median käyttöön. Tällaisia tapahtumia ovat esimerkiksi seuraavat:

• Valvontatapahtumat: Näyttää niiden valvontatapahtumien määrän, jotka tapahtuvat, kun ulkoinen media on yhdistetty.
• Käytäntötapahtumat: Näyttää niiden käytäntötapahtumien määrän, jotka tapahtuvat, kun laitteen hallintakäytäntö käynnistetään.

Huomautus

Valvontatapahtuma median käytön seuraamiseksi on oletusarvoisesti käytössä laitteissa, jotka on otettu käyttöön Microsoft Defender for Endpoint.

Valvontatapahtumien ymmärtäminen

Valvontatapahtumia ovat muun muassa seuraavat:

• USB-aseman pidäte ja poista asennus: Valvontatapahtumat, jotka luodaan, kun USB-asema asennetaan tai poistetaan käytöstä.
• PnP: Plug and Play valvontatapahtumat luodaan, kun siirrettävä tallennus, tulostin tai Bluetooth-media on yhdistetty.
• Siirrettävän tallennustilan käytön valvonta: Tapahtumia luodaan, kun siirrettävän tallennuksen käytön hallintakäytäntö käynnistetään. Se voi olla Audit, Block tai Allow.

Laitteen hallinnan suojauksen valvonta

Defender for Endpointin laiteohjausobjekti antaa suojauksen järjestelmänvalvojille työkalut, joiden avulla he voivat seurata organisaationsa laitehallinnan suojausta raporttien kautta. Laitteen hallintaraportti on Microsoft Defender portaalissa (https://security.microsoft.com). ValitseRaportit-päätepisteet>. Etsi Laitteen hallinta -kortti ja avaa raportti valitsemalla linkki.

Raportit-koontinäytössä Laitteen suojaus -kortissa näkyy mediatyypin luomien valvontatapahtumien määrä viimeisten 180 päivän aikana. Näytä tiedot -kohdassa näkyvät viimeisten 30 päivän raakatapahtumat.

Näytä tiedot -painike näyttää lisää median käyttötietoja Laitteen hallinta -raporttisivulla.

Sivu sisältää koontinäytön, joka sisältää koostetun määrän tapahtumia tyyppiä kohden ja tapahtumaluettelon ja näyttää 500 tapahtumaa sivulla, mutta jos olet järjestelmänvalvoja (kuten yleinen järjestelmänvalvoja tai suojauksen järjestelmänvalvoja), voit vierittää alaspäin nähdäksesi lisää tapahtumia ja voit suodattaa aika-alueen, medialuokan nimen ja laitetunnuksen mukaan.

Kun valitset tapahtuman, näkyviin tulee pikaikkuna, jossa on lisätietoja:

• Yleiset tiedot: Tämän tapahtuman päivämäärä, toimintotila, käytäntö ja käyttöoikeus.
• Mediatiedot: Mediatiedot sisältävät median nimen, luokan nimen, luokan GUID-tunnuksen, laitetunnuksen, toimittajan tunnuksen, sarjanumeron ja väylän tyypin.
• Sijainnin tiedot: Laitteen nimi, käyttäjä ja MDATP-laitetunnus.

Jos haluat nähdä tämän median reaaliaikaisen toiminnan koko organisaatiossa, valitse Avaa lisämetsästys -painike. Tämä sisältää upotetun, ennalta määritetyn kyselyn.

Jos haluat nähdä laitteen suojauksen, valitse Avauslaite-sivupainike pikaikkunassa. Tämä painike avaa laitteen entiteettisivun.

Raportoinnin viiveet

Mediayhteyden muodostamisesta voi kulua jopa kuusi tuntia, ennen kuin tapahtuma näkyy kortissa tai toimialueluettelossa.

Huomautus

Kun viet tietoja, kuten tapahtumaluettelon, laitteen ohjausobjektiraportista Exceliin, jopa 500 tapahtumaa viedään. Jos organisaatiosi käyttää Microsoft Sentineliä, voit integroida Defender for Endpointin Sentineliin, jolloin kaikki tapaukset ja hälytykset virtautetaan. Lisätietoja on artikkelissa Tietojen yhdistäminen Microsoft Defender XDR Microsoft Sentineliin.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Laitteen ohjausobjekti Microsoft Defender for Endpoint
• Device Control for macOS