Visualización de eventos e información de control de dispositivos en Microsoft Defender para punto de conexión

El control de dispositivos de Microsoft Defender para punto de conexión ayuda a proteger su organización frente a posibles pérdidas de datos, malware u otras ciberamenazas al permitir o impedir que determinados dispositivos se conecten a los equipos de los usuarios. El equipo de seguridad puede ver información sobre eventos de control de dispositivos con búsqueda avanzada o mediante el informe de control de dispositivos.

Importante

Microsoft recomienda usar roles con los permisos más mínimos. Esto ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Para acceder al portal de Microsoft Defender, la suscripción debe incluir informes de Microsoft 365 para E5.

Seleccione cada pestaña para obtener más información sobre la búsqueda avanzada y el informe de control de dispositivos.

Búsqueda avanzada de amenazas

Se aplica a:

Cuando se desencadena una directiva de control de dispositivo, un evento es visible con la búsqueda avanzada, independientemente de si lo inició el sistema o el usuario que inició sesión. En esta sección se incluyen algunas consultas de ejemplo que puede usar en la búsqueda avanzada.

Ejemplo 1: Directiva de almacenamiento extraíble desencadenada por la aplicación de nivel de disco y sistema de archivos

Cuando se produce una RemovableStoragePolicyTriggered acción, está disponible información de eventos sobre el cumplimiento de nivel de sistema de archivos y disco.

Sugerencia

Actualmente, en la búsqueda avanzada, hay un límite de 300 eventos por dispositivo y día para RemovableStoragePolicyTriggered eventos. Use el informe de control de dispositivo para ver datos adicionales.


//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.

Vea también