Afficher les événements et les informations de contrôle d’appareil dans Microsoft Defender pour point de terminaison

Microsoft Defender pour point de terminaison contrôle d’appareil permet de protéger vos organization contre les pertes de données potentielles, les programmes malveillants ou d’autres cybermenaces en autorisant ou en empêchant la connexion de certains appareils aux ordinateurs des utilisateurs. Vous pouvez afficher des informations sur les événements de contrôle d’appareil avec la chasse avancée ou à l’aide du rapport de contrôle d’appareil.

Pour accéder au portail Microsoft Defender, votre abonnement doit inclure microsoft 365 pour les rapports E5.

Sélectionnez chaque onglet pour en savoir plus sur la chasse avancée et le rapport de contrôle d’appareil.

Recherche avancée de menaces

Recherche avancée de menaces

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2

Lorsqu’une stratégie de contrôle d’appareil est déclenchée, un événement est visible avec une chasse avancée, qu’il ait été initié par le système ou par l’utilisateur qui s’est connecté. Cette section inclut des exemples de requêtes que vous pouvez utiliser pour la chasse avancée.

Exemple 1 : Stratégie de stockage amovible déclenchée par l’application au niveau du disque et du système de fichiers

Lorsqu’une RemovableStoragePolicyTriggered action se produit, des informations d’événement sur l’application au niveau du disque et du système de fichiers sont disponibles.

Conseil

Actuellement, dans la chasse avancée, il existe une limite de 300 événements par appareil et par jour pour RemovableStoragePolicyTriggered les événements. Utilisez le rapport de contrôle d’appareil pour afficher des données supplémentaires.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Exemple 2 : événement de fichier de stockage amovible

Lorsqu’une action RemovableStorageFileEvent se produit, des informations sur le fichier de preuve sont disponibles pour la protection de l’imprimante et le stockage amovible. Voici un exemple de requête que vous pouvez utiliser avec la chasse avancée :

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Rapport de contrôle d’appareil

Rapport de contrôle d’appareil

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender pour les PME

Avec le rapport de contrôle d’appareil, vous pouvez afficher les événements liés à l’utilisation des médias. Ces événements sont les suivants :

• Événements d’audit : Affiche le nombre d’événements d’audit qui se produisent quand un média externe est connecté.
• Événements de stratégie : Affiche le nombre d’événements de stratégie qui se produisent lorsqu’une stratégie de contrôle d’appareil est déclenchée.

Remarque

L’événement d’audit pour suivre l’utilisation des médias est activé par défaut pour les appareils intégrés à Microsoft Defender pour point de terminaison.

Présentation des événements d’audit

Les événements d’audit sont les suivants :

• Montage et démontage du lecteur USB : Auditez les événements générés lorsqu’un lecteur USB est monté ou démonté.
• PnP : Plug-and-Play événements d’audit sont générés quand un stockage amovible, une imprimante ou un média Bluetooth est connecté.
• Contrôle d’accès au stockage amovible : Les événements sont générés lorsqu’une stratégie de contrôle d’accès de stockage amovible est déclenchée. Il peut s’agir d’audit, de blocage ou d’autorisation.

Surveiller la sécurité du contrôle des appareils

Le contrôle d’appareil dans Defender pour point de terminaison donne aux administrateurs de la sécurité des outils qui leur permettent de suivre la sécurité du contrôle des appareils de leur organization par le biais de rapports. Vous trouverez le rapport de contrôle d’appareil dans le portail Microsoft Defender (https://security.microsoft.com). Accédez à Rapports>Points de terminaison. Recherchez contrôle d’appareil carte, puis sélectionnez le lien pour ouvrir le rapport.

Dans le tableau de bord Rapports, le carte Protection de l’appareil affiche le nombre d’événements d’audit générés par type de média, au cours des 180 derniers jours. Sous Afficher les détails, les événements bruts des 30 derniers jours sont répertoriés.

Le bouton Afficher les détails affiche d’autres données d’utilisation des médias dans la page rapport de contrôle de l’appareil .

La page fournit un tableau de bord avec un nombre agrégé d’événements par type et une liste d’événements et affiche 500 événements par page, mais si vous êtes administrateur (par exemple, administrateur général ou administrateur de sécurité), vous pouvez faire défiler vers le bas pour afficher d’autres événements et filtrer sur l’intervalle de temps, le nom de la classe multimédia et l’ID d’appareil.

Lorsque vous sélectionnez un événement, un menu volant s’affiche pour afficher plus d’informations :

• Détails généraux : Date, mode Action, stratégie et Accès de cet événement.
• Informations sur les médias : Les informations sur le média incluent le nom du média, le nom de la classe, le GUID de classe, l’ID d’appareil, l’ID du fournisseur, le numéro de série et le type de bus.
• Détails de l’emplacement : Nom de l’appareil, Utilisateur et ID d’appareil MDATP.

Pour voir l’activité en temps réel de ce média dans l’organization, sélectionnez le bouton Ouvrir la chasse avancée. Cela inclut une requête prédéfinie incorporée.

Pour voir la sécurité de l’appareil, sélectionnez le bouton Ouvrir la page de l’appareil dans le menu volant. Ce bouton ouvre la page d’entité de l’appareil.

Retards de création de rapports

Il peut y avoir un délai pouvant atteindre six heures entre le moment où une connexion multimédia se produit et le moment où l’événement est reflété dans le carte ou dans la liste des domaines.

Remarque

Lorsque vous exportez des données, telles qu’une liste d’événements, du rapport de contrôle d’appareil vers Excel, jusqu’à 500 événements sont exportés. Toutefois, si votre organization utilise Microsoft Sentinel, vous pouvez intégrer Defender pour point de terminaison à Sentinel afin que tous les incidents et alertes soient diffusés en continu. Pour plus d’informations, consultez Connecter des données de Microsoft Defender XDR à Microsoft Sentinel.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.

Voir aussi

• Contrôle d’appareil dans Microsoft Defender pour point de terminaison
• Contrôle d’appareil pour macOS