Visualizzare gli eventi di controllo del dispositivo e le informazioni in Microsoft Defender per endpoint
Microsoft Defender per endpoint controllo dei dispositivi consente di proteggere l'organizzazione da potenziali perdite di dati, malware o altre minacce informatiche consentendo o impedendo la connessione di determinati dispositivi ai computer degli utenti. È possibile visualizzare informazioni sugli eventi di controllo del dispositivo con ricerca avanzata o usando il report di controllo del dispositivo.
Per accedere al portale di Microsoft Defender, la sottoscrizione deve includere la creazione di report di Microsoft 365 for E5.
Selezionare ogni scheda per altre informazioni sulla ricerca avanzata e sul report sul controllo del dispositivo.
Rilevazione avanzata
Si applica a:
Quando viene attivato un criterio di controllo del dispositivo, un evento è visibile con ricerca avanzata, indipendentemente dal fatto che sia stato avviato dal sistema o dall'utente che ha eseguito l'accesso. Questa sezione include alcune query di esempio che è possibile usare nella ricerca avanzata.
Esempio 1: Criteri di archiviazione rimovibili attivati dall'imposizione a livello di disco e file system
Quando si verifica un'azione RemovableStoragePolicyTriggered
, sono disponibili informazioni sull'evento relative all'imposizione a livello di disco e file system.
Consiglio
Attualmente, nella ricerca avanzata, è previsto un limite di 300 eventi per dispositivo al giorno per RemovableStoragePolicyTriggered
gli eventi. Usare il report di controllo del dispositivo per visualizzare dati aggiuntivi.
//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
Esempio 2: Evento del file di archiviazione rimovibile
Quando si verifica un'azione RemovableStorageFileEvent, le informazioni sul file di evidenza sono disponibili sia per la protezione della stampante che per l'archiviazione rimovibile. Ecco una query di esempio che è possibile usare con la ricerca avanzata:
//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Vedere anche
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per