Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление устройствами Microsoft Defender для конечной точки помогает защитить организацию от потенциальной потери данных, вредоносных программ или других киберугроз, разрешая или предотвращая подключение определенных устройств к компьютерам пользователей. Ваша группа безопасности может просматривать сведения о событиях управления устройствами с помощью расширенной охоты или с помощью отчета об управлении устройством.
Важно!
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.
Чтобы получить доступ к порталу Microsoft Defender, ваша подписка должна содержать отчеты Microsoft 365 для E5.
Выберите каждую вкладку, чтобы узнать больше о расширенной охоте и отчете об управлении устройством.
Расширенная охота
Область применения:
При активации политики управления устройствами событие отображается при расширенном поиске независимо от того, было ли оно инициировано системой или пользователем, выполнившим вход. В этом разделе приведены примеры запросов, которые можно использовать при расширенной охоте.
Пример 1. Политика съемного хранилища, активируемая принудительным применением на уровне диска и файловой системы
При возникновении RemovableStoragePolicyTriggered действия доступны сведения о событиях о принудительном применении на уровне диска и файловой системы.
Совет
В настоящее время в расширенной охоте существует ограничение в 300 событий на устройство в день для RemovableStoragePolicyTriggered событий. Используйте отчет об управлении устройством для просмотра дополнительных данных.
//RemovableStoragePolicyTriggered: event triggered by Disk and file system level enforcement for both Printer and Removable storage based on your policy
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.