Просмотр событий и сведений об управлении устройством в Microsoft Defender для конечной точки

Microsoft Defender для конечной точки управление устройствами помогает защитить организацию от потенциальной потери данных, вредоносных программ или других киберугроз, разрешая или предотвращая подключение определенных устройств к компьютерам пользователей. Сведения о событиях управления устройствами можно просмотреть с помощью расширенной охоты или с помощью отчета об управлении устройством.

Чтобы получить доступ к порталу Microsoft Defender, ваша подписка должна содержать отчеты Microsoft 365 для E5.

Выберите каждую вкладку, чтобы узнать больше о расширенной охоте и отчете об управлении устройством.

Расширенная охота

Расширенная охота

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)

При активации политики управления устройствами событие отображается при расширенном поиске независимо от того, было ли оно инициировано системой или пользователем, выполнившим вход. В этом разделе приведены примеры запросов, которые можно использовать при расширенной охоте.

Пример 1. Политика съемного хранилища, активируемая принудительным применением на уровне диска и файловой системы

При возникновении RemovableStoragePolicyTriggered действия доступны сведения о событиях о принудительном применении на уровне диска и файловой системы.

Совет

В настоящее время в расширенной охоте существует ограничение в 300 событий на устройство в день для RemovableStoragePolicyTriggered событий. Используйте отчет об управлении устройством для просмотра дополнительных данных.

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Пример 2. Событие файла съемных хранилищ

При выполнении действия RemovableStorageFileEvent сведения о файле доказательств доступны как для защиты принтера, так и для съемного хранилища. Ниже приведен пример запроса, который можно использовать с расширенной охотой:

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

Отчет об управлении устройством

Отчет об управлении устройством

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender для бизнеса

С помощью отчета об управлении устройством можно просматривать события, связанные с использованием мультимедиа. К таким событиям относятся:

• События аудита: Показывает количество событий аудита, возникающих при подключении внешнего носителя.
• События политики: Показывает количество событий политики, возникающих при активации политики управления устройствами.

Примечание.

Событие аудита для отслеживания использования мультимедиа включено по умолчанию для устройств, подключенных к Microsoft Defender для конечной точки.

Общие сведения о событиях аудита

К событиям аудита относятся:

• Подключение и отключение USB-накопителя: События аудита, создаваемые при подключении или отключении USB-накопителя.
• PnP: события аудита Plug and Play создаются при подключении съемных носителей, принтера или носителя Bluetooth.
• Управление доступом к съемным хранилищам: События создаются при активации политики управления доступом к съемным хранилищам. Это может быть аудит, блокировка или разрешение.

Мониторинг безопасности управления устройствами

Управление устройствами в Defender для конечной точки предоставляет администраторам безопасности средства, позволяющие отслеживать безопасность управления устройствами в своей организации с помощью отчетов. Отчет об управлении устройствами можно найти на портале Microsoft Defender (https://security.microsoft.com). Перейдите в разделКонечные точкиотчетов>. Найдите элемент управления устройством карта и щелкните ссылку, чтобы открыть отчет.

На панели мониторинга "Отчеты" карта защиты устройств отображается количество событий аудита, созданных типом носителя за последние 180 дней. В разделе Просмотр сведений перечислены необработанные события за последние 30 дней.

Кнопка Просмотреть сведения отображает дополнительные данные об использовании мультимедиа на странице отчета об элементе управления устройством .

На этой странице представлена панель мониторинга с агрегированным числом событий для каждого типа и список событий, а также 500 событий на странице, но если вы являетесь администратором (например, глобальным администратором или администратором безопасности), вы можете прокрутить вниз, чтобы просмотреть дополнительные события, а также фильтровать по диапазону времени, имени класса мультимедиа и идентификатору устройства.

При выборе события появляется всплывающее окно с дополнительными сведениями:

• Общие сведения: Дата, режим действия, политика и доступ к этому событию.
• Сведения о мультимедиа: Сведения о носителе включают имя носителя, имя класса, GUID класса, идентификатор устройства, идентификатор поставщика, серийный номер и тип шины.
• Сведения о расположении: Имя устройства, пользователь и идентификатор устройства MDATP.

Чтобы просмотреть действия в режиме реального времени для этого носителя в организации, нажмите кнопку Открыть расширенную охоту . Сюда входит встроенный предопределенный запрос.

Чтобы увидеть безопасность устройства, нажмите кнопку Открыть страницу устройства на всплывающем элементе. Эта кнопка открывает страницу сущности устройства.

Сообщения о задержках

С момента подключения к мультимедиа до момента отражения события в карта или в списке доменов может возникнуть задержка до шести часов.

Примечание.

При экспорте данных, таких как список событий, из отчета об управлении устройством в Excel экспортируется до 500 событий. Однако если ваша организация использует Microsoft Sentinel, вы можете интегрировать Defender для конечной точки с Sentinel, чтобы все инциденты и оповещения передавалися в потоковую передачу. Дополнительные сведения см. в статье Подключение данных из Microsoft Defender XDR к Microsoft Sentinel.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.

См. также

• Управление устройствами в Microsoft Defender для конечной точки
• Управление устройствами для macOS