Microsoft Defender for Endpointでデバイスコントロールのイベントと情報を表示する
Microsoft Defender for Endpointデバイス制御は、特定のデバイスをユーザーのコンピューターに接続できるようにすることで、潜在的なデータ損失、マルウェア、またはその他のサイバー脅威からorganizationを保護するのに役立ちます。 高度なハンティングを使用するか、デバイス コントロール レポートを使用して、デバイス コントロール イベントに関する情報を表示できます。
Microsoft Defender ポータルにアクセスするには、サブスクリプションに Microsoft 365 for E5 レポートを含める必要があります。
各タブを選択して、高度なハンティングとデバイスコントロールレポートの詳細を確認します。
高度な追及
適用対象:
デバイス制御ポリシーがトリガーされると、システムによって開始されたか、サインインしたユーザーによって開始されたかに関係なく、高度なハンティングでイベントが表示されます。 このセクションには、高度なハンティングで使用できるクエリの例がいくつか含まれています。
例 1: ディスクとファイル システム レベルの適用によってトリガーされるリムーバブル 記憶域ポリシー
アクションが RemovableStoragePolicyTriggered
発生すると、ディスクとファイル システム レベルの適用に関するイベント情報を使用できます。
ヒント
現在、高度なハンティングでは、イベントのデバイスあたり 1 日あたり 300 イベントの RemovableStoragePolicyTriggered
制限があります。 デバイス コントロール レポートを使用して、追加のデータを表示します。
//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
例 2: リムーバブル 記憶域ファイル イベント
ファイル証拠を収集するようにポリシーが構成されている場合は、 RemovableStorageFileEvent
が作成されます。 このイベントは、プリンターとリムーバブル 記憶域デバイスの両方に対して生成されます。 高度なハンティングで使用できるクエリの例を次に示します。
//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc
注:
は RemovableStorageFileEvent
、ファイルがデバイスにコピーされた直後には表示されません。 表示されるまでに 24 時間かかる場合があります。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
関連項目
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示