Gebeurtenissen en informatie over apparaatbeheer weergeven in Microsoft Defender voor Eindpunt

Microsoft Defender voor Eindpunt apparaatbeheer helpt uw organisatie te beschermen tegen mogelijk gegevensverlies, malware of andere cyberdreigingen door bepaalde apparaten toe te staan of te voorkomen dat bepaalde apparaten worden verbonden met de computers van gebruikers. U kunt informatie over apparaatbesturingsevenementen bekijken met geavanceerde opsporing of met behulp van het apparaatbeheerrapport.

Voor toegang tot de Microsoft Defender-portal moet uw abonnement Microsoft 365 voor E5-rapportage bevatten.

Selecteer elk tabblad voor meer informatie over geavanceerde opsporing en het rapport over apparaatbeheer.

Geavanceerd opsporen

Geavanceerd opsporen

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt

Wanneer een apparaatbeheerbeleid wordt geactiveerd, is een gebeurtenis zichtbaar met geavanceerde opsporing, ongeacht of deze is gestart door het systeem of door de gebruiker die zich heeft aangemeld. Deze sectie bevat enkele voorbeeldquery's die u kunt gebruiken bij geavanceerde opsporing.

Voorbeeld 1: Verwisselbaar opslagbeleid geactiveerd door afdwingen op schijf- en bestandssysteemniveau

Wanneer een RemovableStoragePolicyTriggered actie plaatsvindt, is er informatie over de afdwinging op schijf- en bestandssysteemniveau beschikbaar.

Tip

Op dit moment geldt voor geavanceerde opsporing een limiet van 300 gebeurtenissen per apparaat per dag voor RemovableStoragePolicyTriggered gebeurtenissen. Gebruik het rapport apparaatbeheer om aanvullende gegevens weer te geven.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Voorbeeld 2: Gebeurtenis verwisselbaar opslagbestand

Wanneer een actie RemovableStorageFileEvent optreedt, is informatie over het bewijsbestand beschikbaar voor zowel printerbeveiliging als verwisselbare opslag. Hier volgt een voorbeeldquery die u kunt gebruiken met geavanceerde opsporing:

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Rapport apparaatbeheer

Rapport apparaatbeheer

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender voor Bedrijven

Met het rapport apparaatbeheer kunt u gebeurtenissen bekijken die betrekking hebben op mediagebruik. Dergelijke gebeurtenissen zijn onder andere:

• Controlegebeurtenissen: Toont het aantal controlegebeurtenissen dat optreedt wanneer externe media zijn verbonden.
• Beleidsevenementen: Toont het aantal beleidsgebeurtenissen dat optreedt wanneer een beleid voor apparaatbeheer wordt geactiveerd.

Opmerking

De auditgebeurtenis voor het bijhouden van mediagebruik is standaard ingeschakeld voor apparaten die zijn toegevoegd aan Microsoft Defender voor Eindpunt.

Informatie over de controlegebeurtenissen

De controlegebeurtenissen omvatten:

• USB-station koppelen en ontkoppelen: Controleer gebeurtenissen die worden gegenereerd wanneer een USB-station is gekoppeld of ontkoppeld.
• PnP: Plug en Play controlegebeurtenissen worden gegenereerd wanneer verwisselbare opslag, een printer of Bluetooth-media is verbonden.
• Toegangsbeheer voor verwisselbare opslag: Gebeurtenissen worden gegenereerd wanneer een beleid voor toegangsbeheer voor verwisselbare opslag wordt geactiveerd. Dit kan Controle, Blokkeren of Toestaan zijn.

Beveiliging van apparaatbeheer bewaken

Apparaatbeheer in Defender voor Eindpunt biedt beveiligingsbeheerders hulpprogramma's waarmee ze de beveiliging van apparaatbeheer van hun organisatie kunnen bijhouden via rapporten. U vindt het rapport over apparaatbeheer in de Microsoft Defender portal (https://security.microsoft.com). Ga naar Eindpunten voor rapporten>. Zoek Apparaatbeheerkaart en selecteer de koppeling om het rapport te openen.

In het dashboard Rapporten geeft de kaart Apparaatbeveiliging het aantal controlegebeurtenissen weer dat door het mediatype is gegenereerd in de afgelopen 180 dagen. Onder Details weergeven worden onbewerkte gebeurtenissen van de afgelopen 30 dagen weergegeven.

De knop Details weergeven toont meer mediagebruiksgegevens op de rapportpagina Apparaatbeheer .

De pagina biedt een dashboard met een geaggregeerd aantal gebeurtenissen per type en een lijst met gebeurtenissen en toont 500 gebeurtenissen per pagina, maar als u een beheerder bent (zoals een globale beheerder of beveiligingsbeheerder), kunt u omlaag schuiven om meer gebeurtenissen te zien en kunt u filteren op tijdsbereik, mediaklassenaam en apparaat-id.

Wanneer u een gebeurtenis selecteert, wordt er een flyout weergegeven met meer informatie:

• Algemene details: Datum, actiemodus, het beleid en toegang van deze gebeurtenis.
• Media-informatie: Media-informatie omvat medianaam, klassenaam, klasse-GUID, apparaat-id, leverancier-id, serienummer en bustype.
• Locatiedetails: Apparaatnaam, gebruiker en MDATP-apparaat-id.

Als u realtime activiteiten voor deze media in de hele organisatie wilt bekijken, selecteert u de knop Geavanceerde opsporing openen . Dit omvat een ingesloten, vooraf gedefinieerde query.

Als u de beveiliging van het apparaat wilt zien, selecteert u de knop Apparaatpagina openen in de flyout. Met deze knop wordt de pagina apparaatentiteit geopend.

Rapportagevertragingen

Er kan een vertraging van maximaal zes uur zijn vanaf het moment dat een mediaverbinding plaatsvindt tot het moment dat de gebeurtenis wordt weergegeven in de kaart of in de lijst met domeinen.

Opmerking

Wanneer u gegevens, zoals een lijst met gebeurtenissen, vanuit het apparaatbeheerrapport exporteert naar Excel, worden maximaal 500 gebeurtenissen geëxporteerd. Als uw organisatie echter Gebruikmaakt van Microsoft Sentinel, kunt u Defender voor Eindpunt integreren met Sentinel, zodat alle incidenten en waarschuwingen worden gestreamd. Zie Gegevens van Microsoft Defender XDR verbinden met Microsoft Sentinel voor meer informatie.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.

Zie ook

• Apparaatbeheer in Microsoft Defender voor Eindpunt
• Apparaatbeheer voor macOS