Uç Nokta için Microsoft Defender'da cihaz denetimi olaylarını ve bilgilerini görüntüleme

Uç Nokta için Microsoft Defender cihaz denetimi, belirli cihazların kullanıcıların bilgisayarlarına bağlanmasına izin vererek veya bunları engelleyerek kuruluşunuzun olası veri kaybına, kötü amaçlı yazılımlara veya diğer siber tehditlere karşı korunmasına yardımcı olur. Güvenlik ekibiniz, gelişmiş avcılık ile veya cihaz denetim raporunu kullanarak cihaz denetimi olayları hakkındaki bilgileri görüntüleyebilir.

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Microsoft Defender portalına erişmek için aboneliğinizin E5 için Microsoft 365 raporlamasını içermesi gerekir.

Gelişmiş avcılık ve cihaz denetimi raporu hakkında daha fazla bilgi edinmek için her sekmeyi seçin.

Gelişmiş avcılık örneği

Şunlar için geçerlidir:

Bir cihaz denetimi ilkesi tetiklendiğinde, sistem tarafından mı yoksa oturum açan kullanıcı tarafından mı başlatıldığına bakılmaksızın gelişmiş avcılık ile bir olay görünür. Bu bölüm, gelişmiş avcılıkta kullanabileceğiniz bazı örnek sorguları içerir.

Örnek 1: Disk ve dosya sistemi düzeyi zorlaması tarafından tetiklenen çıkarılabilir depolama ilkesi

Bir RemovableStoragePolicyTriggered eylem gerçekleştiğinde, disk ve dosya sistemi düzeyi zorlaması hakkındaki olay bilgileri kullanılabilir.

İpucu

Şu anda gelişmiş avcılıkta, etkinlikler için RemovableStoragePolicyTriggered cihaz başına günlük 300 etkinlik sınırı vardır. Ek verileri görüntülemek için cihaz denetim raporunu kullanın.


//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.

Ayrıca bkz.