Microsoft Defender for Endpoint でデバイス 制御イベントと情報を表示する

高度な追及

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

デバイス制御ポリシーがトリガーされると、システムによって開始されたか、サインインしたユーザーによって開始されたかに関係なく、高度なハンティングでイベントが表示されます。 このセクションには、高度なハンティングで使用できるクエリの例がいくつか含まれています。

例 1: ディスクとファイル システム レベルの適用によってトリガーされるリムーバブル 記憶域ポリシー

RemovableStoragePolicyTriggeredアクションが発生すると、ディスクとファイル システム レベルの適用に関するイベント情報を使用できます。

//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

デバイスコントロールレポート

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

デバイス コントロール レポートを使用すると、メディアの使用状況に関連するイベントを表示できます。 このようなイベントには、次のものが含まれます。

• 監査イベント: 外部メディアが接続されているときに発生する監査イベントの数を示します。
• ポリシー イベント: デバイス制御ポリシーがトリガーされたときに発生するポリシー イベントの数を示します。

監査イベントについて

監査イベントには、次のものが含まれます。

• USB ドライブのマウントとマウント解除: USB ドライブがマウントまたはマウント解除されたときに生成される監査イベント。
• PnP: プラグ アンド プレイ監査イベントは、リムーバブル 記憶域、プリンター、またはBluetooth メディアが接続されている場合に生成されます。
• リムーバブル ストレージ アクセス制御: リムーバブル 記憶域アクセス制御ポリシーがトリガーされると、イベントが生成されます。 監査、ブロック、または許可を指定できます。

デバイス制御のセキュリティを監視する

Defender for Endpoint のデバイス制御を使用すると、セキュリティ管理者は、レポートを通じて組織のデバイス制御のセキュリティを追跡できるツールを使用できます。 デバイス コントロール レポートは、Microsoft Defender ポータル (https://security.microsoft.com) にあります。 [レポート>エンドポイント] に移動します。 [デバイス コントロール カード] を探し、リンクを選択してレポートを開きます。

[レポート] ダッシュボードの [デバイス保護] カードには、過去 180 日間にメディアの種類によって生成された監査イベントの数が表示されます。 [ 詳細の表示] に、過去 30 日間の未加工イベントが一覧表示されます。

[ 詳細の表示] ボタンには、[ デバイスコントロール] レポート ページに、より多くのメディア使用状況データが表示されます。

ページには、種類ごとのイベントの集計数とイベントの一覧が表示されたダッシュボードが用意されており、1 ページあたり 500 件のイベントが表示されますが、管理者 (セキュリティ管理者など) の場合は、下にスクロールしてさらに多くのイベントを表示し、時間範囲、メディア クラス名、デバイス ID でフィルター処理できます。

イベントを選択すると、詳細情報を示すポップアップが表示されます。

• 一般的な詳細: 日付、アクション モード、ポリシー、およびこのイベントのアクセス。
• メディア情報: メディア情報には、メディア名、クラス名、クラス GUID、デバイス ID、ベンダー ID、シリアル番号、Bus の種類が含まれます。
• 場所の詳細: デバイス名、ユーザー、MDATP デバイス ID。

組織全体のこのメディアのリアルタイム アクティビティを表示するには、[ 詳細なハンティングを開く ] ボタンを選択します。 これには、埋め込まれた定義済みのクエリが含まれます。

デバイスのセキュリティを確認するには、ポップアップの [ デバイス ページを開く ] ボタンを選択します。 このボタンをクリックすると、デバイス エンティティ ページが開きます。

レポートの遅延

メディア接続が発生した時点から、イベントがカードまたはドメイン リストに反映されるまでに最大 6 時間の遅延が発生する可能性があります。