디바이스 제어 보고서
적용 대상:
엔드포인트용 Microsoft Defender 디바이스 제어는 이동식 스토리지 디바이스 및 USB 드라이브 사용과 같은 조직의 디바이스에서 미디어 사용을 모니터링하고 제어하여 데이터 손실로부터 보호합니다.
디바이스 제어 보고서를 사용하면 미디어 사용량과 관련된 이벤트를 볼 수 있습니다. 이러한 이벤트는 다음과 같습니다.
- 감사 이벤트: 외부 미디어가 연결되면 발생하는 감사 이벤트 수를 표시합니다.
- 정책 이벤트: 디바이스 제어 정책이 트리거될 때 발생하는 정책 이벤트의 수를 표시합니다.
참고
미디어 사용량을 추적하는 감사 이벤트는 엔드포인트용 Microsoft Defender 온보딩된 디바이스에 대해 기본적으로 사용하도록 설정됩니다.
감사 이벤트 이해
감사 이벤트에는 다음이 포함됩니다.
- USB 드라이브 탑재 및 탑재 해제: USB 드라이브가 탑재되거나 탑재 해제될 때 생성되는 감사 이벤트입니다.
- PnP: 플러그 앤 플레이 감사 이벤트는 이동식 저장소, 프린터 또는 Bluetooth 미디어가 연결될 때 생성됩니다.
- 이동식 스토리지 액세스 제어: 이벤트는 이동식 스토리지 액세스 제어 정책이 트리거될 때 생성됩니다. 감사, 차단 또는 허용일 수 있습니다.
디바이스 제어 보안 모니터링
엔드포인트용 Defender의 디바이스 제어를 통해 보안 관리자는 보고서를 통해 조직의 디바이스 제어 보안을 추적할 수 있는 도구를 사용할 수 있습니다. Microsoft 365 Defender 포털(https://security.microsoft.com)에서 디바이스 제어 보고서를 찾을 수 있습니다. 보고서 > 일반 > 보안 보고서 로 이동합니다. 디바이스 제어 카드를 찾고 링크를 선택하여 보고서를 엽니다.
보고서 대시보드의 디바이스 보호 카드에는 지난 180일 동안 미디어 유형별로 생성된 감사 이벤트 수가 표시됩니다.
세부 정보 보기 단추는 디바이스 제어 보고서 페이지에 더 많은 미디어 사용 현황 데이터를 표시합니다.
이 페이지는 형식당 집계된 이벤트 수와 이벤트 목록이 포함된 대시보드를 제공하고 페이지당 500개의 이벤트를 표시하지만 관리자는 아래로 스크롤하여 더 많은 이벤트를 보고 시간 범위, 미디어 클래스 이름 및 디바이스 ID를 필터링할 수 있습니다.
이벤트를 선택하면 추가 정보를 보여 주는 플라이아웃이 나타납니다.
- 일반 세부 정보: 날짜, 작업 모드, 정책 및 이 이벤트의 액세스입니다.
- 미디어 정보: 미디어 정보에는 미디어 이름, 클래스 이름, 클래스 GUID, 디바이스 ID, 공급업체 ID, 일련 번호 및 버스 유형이 포함됩니다.
- 위치 세부 정보: 디바이스 이름, 사용자 및 MDATP 디바이스 ID입니다.
조직 전체에서 이 미디어에 대한 실시간 활동을 보려면 고급 헌팅 열기 단추를 선택합니다. 여기에는 미리 정의된 포함된 쿼리가 포함됩니다.
디바이스의 보안을 보려면 플라이아웃에서 디바이스 열기 페이지 단추를 선택합니다. 이 단추는 디바이스 엔터티 페이지를 엽니다.
지연 보고
미디어 연결이 발생한 시간부터 이벤트가 카드 또는 도메인 목록에 반영되는 시간까지 최대 12시간이 지연될 수 있습니다.