Visualizzare gli eventi di controllo del dispositivo e le informazioni in Microsoft Defender per endpoint

Microsoft Defender per endpoint controllo dei dispositivi consente di proteggere l'organizzazione da potenziali perdite di dati, malware o altre minacce informatiche consentendo o impedendo la connessione di determinati dispositivi ai computer degli utenti. È possibile visualizzare informazioni sugli eventi di controllo del dispositivo con ricerca avanzata o usando il report di controllo del dispositivo.

Per accedere al portale di Microsoft Defender, la sottoscrizione deve includere la creazione di report di Microsoft 365 for E5.

Selezionare ogni scheda per altre informazioni sulla ricerca avanzata e sul report sul controllo del dispositivo.

Rilevazione avanzata

Rilevazione avanzata

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2

Quando viene attivato un criterio di controllo del dispositivo, un evento è visibile con ricerca avanzata, indipendentemente dal fatto che sia stato avviato dal sistema o dall'utente che ha eseguito l'accesso. Questa sezione include alcune query di esempio che è possibile usare nella ricerca avanzata.

Esempio 1: Criteri di archiviazione rimovibili attivati dall'imposizione a livello di disco e file system

Quando si verifica un'azione RemovableStoragePolicyTriggered , sono disponibili informazioni sull'evento relative all'imposizione a livello di disco e file system.

Consiglio

Attualmente, nella ricerca avanzata, è previsto un limite di 300 eventi per dispositivo al giorno per RemovableStoragePolicyTriggered gli eventi. Usare il report di controllo del dispositivo per visualizzare dati aggiuntivi.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Esempio 2: Evento del file di archiviazione rimovibile

Quando si verifica un'azione RemovableStorageFileEvent, le informazioni sul file di evidenza sono disponibili sia per la protezione della stampante che per l'archiviazione rimovibile. Ecco una query di esempio che è possibile usare con la ricerca avanzata:

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Report sul controllo del dispositivo

Report sul controllo del dispositivo

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender for Business

Con il report di controllo del dispositivo, è possibile visualizzare gli eventi correlati all'utilizzo dei supporti. Tali eventi includono:

• Eventi di controllo: Mostra il numero di eventi di controllo che si verificano quando il supporto esterno è connesso.
• Eventi dei criteri: Mostra il numero di eventi dei criteri che si verificano quando viene attivato un criterio di controllo del dispositivo.

Nota

L'evento di controllo per tenere traccia dell'utilizzo dei supporti è abilitato per impostazione predefinita per i dispositivi di cui è stato eseguito l'onboarding in Microsoft Defender per endpoint.

Informazioni sugli eventi di controllo

Gli eventi di controllo includono:

• Montaggio e smontaggio dell'unità USB: Controllare gli eventi generati quando un'unità USB viene montata o smontata.
• PnP: Plug and Play eventi di controllo vengono generati quando è connessa una risorsa di archiviazione rimovibile, una stampante o un supporto Bluetooth.
• Controllo degli accessi all'archiviazione rimovibile: Gli eventi vengono generati quando viene attivato un criterio di controllo degli accessi di archiviazione rimovibile. Può essere Audit, Block o Allow.

Monitorare la sicurezza del controllo del dispositivo

Il controllo dei dispositivi in Defender per endpoint consente agli amministratori della sicurezza di disporre di strumenti che consentono loro di tenere traccia della sicurezza del controllo dei dispositivi dell'organizzazione tramite i report. È possibile trovare il report di controllo del dispositivo nel portale di Microsoft Defender (https://security.microsoft.com). Passare aEndpointreport>. Trovare la scheda controllo dispositivo e selezionare il collegamento per aprire il report.

Nel dashboard Report la scheda Protezione del dispositivo mostra il numero di eventi di controllo generati dal tipo di supporto negli ultimi 180 giorni. In Visualizza dettagli vengono elencati gli eventi non elaborati negli ultimi 30 giorni.

Il pulsante Visualizza dettagli mostra altri dati sull'utilizzo dei supporti nella pagina Report controllo dispositivo .

La pagina fornisce un dashboard con un numero aggregato di eventi per tipo e un elenco di eventi e mostra 500 eventi per pagina, ma se si è un amministratore (ad esempio un amministratore globale o un amministratore della sicurezza), è possibile scorrere verso il basso per visualizzare altri eventi e filtrare in base all'intervallo di tempo, al nome della classe multimediale e all'ID dispositivo.

Quando si seleziona un evento, viene visualizzato un riquadro a comparsa che mostra altre informazioni:

• Dettagli generali: Data, modalità azione, criteri e accesso di questo evento.
• Informazioni sui supporti: Le informazioni multimediali includono il nome del supporto, il nome della classe, il GUID della classe, l'ID dispositivo, l'ID fornitore, il numero di serie e il tipo di bus.
• Dettagli percorso: Nome dispositivo, Utente e ID dispositivo MDATP.

Per visualizzare l'attività in tempo reale per questo supporto nell'organizzazione, selezionare il pulsante Apri ricerca avanzata . Include una query predefinita incorporata.

Per visualizzare la sicurezza del dispositivo, selezionare il pulsante Apri pagina del dispositivo nel riquadro a comparsa. Questo pulsante apre la pagina dell'entità dispositivo.

Segnalazione di ritardi

Potrebbe verificarsi un ritardo fino a sei ore dal momento in cui si verifica una connessione multimediale al momento in cui l'evento viene riflesso nella scheda o nell'elenco di domini.

Nota

Quando si esportano dati, ad esempio un elenco di eventi, dal report di controllo del dispositivo a Excel, vengono esportati fino a 500 eventi. Tuttavia, se l'organizzazione usa Microsoft Sentinel, è possibile integrare Defender per endpoint con Sentinel in modo che vengano trasmessi tutti gli eventi imprevisti e gli avvisi. Per altre informazioni, vedere Connettere dati da Microsoft Defender XDR a Microsoft Sentinel.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.

Vedere anche

• Controllo del dispositivo in Microsoft Defender per endpoint
• Controllo dispositivo per macOS