Vis hendelser og informasjon om enhetskontroll i Microsoft Defender for endepunkt

Microsoft Defender for endepunkt enhetskontroll bidrar til å beskytte organisasjonen mot potensielt tap av data, skadelig programvare eller andre netttrusler ved å tillate eller forhindre at enkelte enheter kobles til brukernes datamaskiner. Du kan vise informasjon om enhetskontrollhendelser med avansert jakt eller ved hjelp av enhetskontrollrapporten.

Hvis du vil ha tilgang til Microsoft Defender-portalen, må abonnementet omfatte rapportering av Microsoft 365 for E5.

Velg hver fane for å lære mer om avansert jakt og enhetskontrollrapporten.

Avansert jakt

Avansert jakt

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2

Når en policy for enhetskontroll utløses, er en hendelse synlig med avansert jakt, uavhengig av om den ble startet av systemet eller av brukeren som logget på. Denne delen inneholder noen eksempelspørringer du kan bruke i avansert jakt.

Eksempel 1: Policy for flyttbar lagring utløst av håndhevelse på disk- og filsystemnivå

Når en RemovableStoragePolicyTriggered handling oppstår, er hendelsesinformasjon om håndhevelse av disk og filsystemnivå tilgjengelig.

Tips

For øyeblikket, i avansert jakt, er det en grense på 300 hendelser per enhet per dag for RemovableStoragePolicyTriggered hendelser. Bruk rapporten for enhetskontroll til å vise tilleggsdata.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Eksempel 2: Filhendelse for flyttbare lagringsmedier

Når en RemovableStorageFileEvent-handling oppstår, er informasjon om bevisfilen tilgjengelig for både skriverbeskyttelse og flyttbar lagring. Her er en eksempelspørring du kan bruke med avansert jakt:

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Rapport for enhetskontroll

Rapport for enhetskontroll

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender for Business

Med rapporten for enhetskontroll kan du vise hendelser som er relatert til mediebruk. Slike hendelser inkluderer:

• Overvåkingshendelser: Viser antall overvåkingshendelser som oppstår når eksterne medier er tilkoblet.
• Policyhendelser: Viser antallet policyhendelser som oppstår når en policy for enhetskontroll utløses.

Obs!

Overvåkingshendelsen for å spore mediebruk er aktivert som standard for enheter som er pålastet for å Microsoft Defender for endepunkt.

Forstå overvåkingshendelsene

Revisjonshendelsene omfatter:

• USB-stasjonsmontering og -demontering: Overvåkingshendelser som genereres når en USB-stasjon er montert eller demontert.
• PnP: Plug and Play overvåkingshendelser genereres når flyttbare lagringsmedier, skrivere eller Bluetooth-medier er tilkoblet.
• Flyttbar tilgangskontroll for lagringsplass: Hendelser genereres når en kontrollpolicy for flyttbar lagringstilgang utløses. Det kan være Overvåking, Blokk eller Tillat.

Overvåk enhetskontrollsikkerhet

Enhetskontroll i Defender for Endpoint gir sikkerhetsadministratorer verktøy som gjør det mulig for dem å spore organisasjonens enhetskontrollsikkerhet gjennom rapporter. Du finner rapporten for enhetskontroll i Microsoft Defender-portalen (https://security.microsoft.com). Gå tilendepunkter for rapporter>. Finn enhetskontrollkortet , og velg koblingen for å åpne rapporten.

I instrumentbordet for rapporter viser enhetsbeskyttelseskortet antall overvåkingshendelser generert av medietype i løpet av de siste 180 dagene. Under Vis detaljer er rå hendelser i løpet av de siste 30 dagene oppført.

Vis detaljer-knappen viser flere mediebruksdata på rapportsiden for enhetskontroll.

Siden inneholder et instrumentbord med aggregert antall hendelser per type og en liste over hendelser og viser 500 hendelser per side, men hvis du er administrator (for eksempel en global administrator eller sikkerhetsadministrator), kan du bla nedover for å se flere hendelser og filtrere etter tidsområde, medieklassenavn og enhets-ID.

Når du velger en hendelse, vises en undermeny som viser mer informasjon:

• Generelle detaljer: Dato, handlingsmodus, policy og tilgang for denne hendelsen.
• Medieinformasjon: Medieinformasjon inkluderer medienavn, klassenavn, klasse-GUID, enhets-ID, leverandør-ID, serienummer og busstype.
• Stedsdetaljer: Enhetsnavn, bruker og MDATP-enhets-ID.

Hvis du vil se aktivitet i sanntid for dette mediet på tvers av organisasjonen, velger du Knappen Åpne avansert jakt . Dette inkluderer en innebygd, forhåndsdefinert spørring.

Hvis du vil se sikkerheten til enheten, velger du åpne enhetssideknappen på undermenyen. Denne knappen åpner enhetssiden for enheten.

Rapportere forsinkelser

Det kan være en forsinkelse på opptil seks timer fra tidspunktet en medietilkobling oppstår til tidspunktet hendelsen gjenspeiles i kortet eller i domenelisten.

Obs!

Når du eksporterer data, for eksempel en liste over hendelser, eksporteres opptil 500 hendelser fra enhetskontrollrapporten til Excel. Hvis organisasjonen bruker Microsoft Sentinel, kan du imidlertid integrere Defender for Endpoint med Sentinel, slik at alle hendelser og varsler strømmes. Hvis du vil ha mer informasjon, kan du se Koble data fra Microsoft Defender XDR til Microsoft Sentinel.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.

Se også

• Enhetskontroll i Microsoft Defender for endepunkt
• Enhetskontroll for macOS