在 適用於端點的 Microsoft Defender 中檢視裝置控制事件和資訊

適用於端點的 Microsoft Defender 裝置控制可允許或防止特定裝置連線到使用者的計算機，以協助保護貴組織免於潛在的數據遺失、惡意代碼或其他網路威脅。 您可以使用進階搜捕或使用裝置控制項報告來檢視裝置控制件事件的相關信息。

若要存取 Microsoft Defender 入口網站，您的訂用帳戶必須包含 Microsoft 365 for E5 報告。

選取每個索引標籤，以深入瞭解進階搜捕和裝置控件報告。

進階搜捕

進階搜捕

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2

觸發裝置控制原則時，不論事件是由系統或登入的使用者所起始，都可透過進階搜捕來顯示事件。 本節包含一些您可以在進階搜捕中使用的查詢範例。

範例 1：磁碟和文件系統層級強制執行所觸發的卸除式儲存原則

RemovableStoragePolicyTriggered發生動作時，可取得有關磁碟和文件系統層級強制執行的事件資訊。

提示

目前，在進階搜捕中，每個裝置每天針對事件限製為 RemovableStoragePolicyTriggered 300個事件。 使用裝置控制項報表來檢視其他數據。

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

範例 2：抽取式記憶體檔案事件

發生 RemovableStorageFileEvent 動作時，辨識項檔案的相關信息可用於印表機保護和卸除式記憶體。 以下是您可以搭配進階搜捕使用的範例查詢：

//information of the evidence file
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

裝置控件報告

裝置控件報告

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• 適用於企業的 Microsoft Defender

透過裝置控制項報告，您可以檢視與媒體使用量相關的事件。 這類事件包括：

• 稽核事件： 顯示連接外部媒體時所發生的稽核事件數目。
• 原則事件： 顯示觸發裝置控制原則時所發生的原則事件數目。

注意事項

默認會啟用稽核事件來追蹤媒體使用量，讓已上線的裝置 適用於端點的 Microsoft Defender。

瞭解稽核事件

稽核事件包括：

• USB 磁碟驅動器掛接和卸除： 稽核掛接或取消掛接 USB 磁碟驅動器時所產生的事件。
• PnP：當卸除式記憶體、印表機或藍牙媒體連線時，會產生 隨插即用 稽核事件。
• 卸除式記憶體訪問控制： 觸發卸除式記憶體訪問控制原則時，就會產生事件。 它可以是 [稽核]、[封鎖] 或 [允許]。

監視裝置控制安全性

適用於端點的 Defender 中的裝置控制可讓安全性系統管理員使用工具，讓他們能夠透過報告追蹤其組織的裝置控制安全性。 您可以在 Microsoft Defender 入口網站中找到裝置控制項報告 (https://security.microsoft.com) 。 移至 [報表>端點]。 尋找 裝置控制卡 片，然後選取連結以開啟報表。

在 [報告] 儀錶板中， [裝置保護 ] 卡片會顯示過去 180 天內媒體類型所產生的稽核事件數目。 在 [ 檢視詳細數據] 底下，列出過去 30 天的原始事件。

[ 檢視詳細數據 ] 按鈕會在 [裝置控制件] 報 表頁面中顯示更多媒體使用量數據。

此頁面提供每個類型事件的匯總數目和事件清單的儀錶板，每個頁面顯示 500 個事件，但如果您是系統管理員 (例如全域管理員或安全性系統管理員) ，您可以向下卷動以查看更多事件，並可篩選時間範圍、媒體類別名稱和裝置識別符。

當您選取事件時，會出現顯示詳細資訊的飛出視窗：

• 一般詳細數據： 此事件的日期、動作模式、原則和存取。
• 媒體資訊： 媒體資訊包括媒體名稱、類別名稱、類別 GUID、裝置識別碼、廠商識別碼、序號和總線類型。
• 位置詳細數據： 裝置名稱、使用者和 MDATP 裝置識別碼。

若要查看整個組織中此媒體的即時活動，請選取 [開啟進階搜捕 ] 按鈕。 這包括內嵌的預先定義查詢。

若要查看裝置的安全性，請選取飛出視窗上的 [ 開啟裝置頁面 ] 按鈕。 此按鈕會開啟裝置實體頁面。

報告延遲

從媒體連線到事件反映在卡片或網域清單中的時間，可能會有最多六小時的延遲。

注意事項

當您從裝置控件報表將事件清單等數據匯出至 Excel 時，最多會匯出 500 個事件。 不過，如果您的組織使用 Microsoft Sentinel，您可以整合適用於端點的 Defender 與 Sentinel，以便串流處理所有事件和警示。 如需詳細資訊，請參閱將數據從 Microsoft Defender 全面偵測回應 連線到 Microsoft Sentinel。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。

另請參閱

• 適用於端點的 Microsoft Defender中的裝置控制件
• macOS 的裝置控制