Search protokolu auditování událostí v Microsoft Defender XDR

Platí pro:

Protokol auditu vám může pomoct prozkoumat konkrétní aktivity napříč službami Microsoftu 365. Na portálu Microsoft Defender XDR se auditují aktivity Microsoft Defender XDR a Microsoft Defender for Endpoint. Mezi auditované aktivity patří:

  • Změny nastavení uchovávání dat
  • Změny pokročilých funkcí
  • Vytváření ukazatelů ohrožení zabezpečení
  • Izolace zařízení
  • Přidání\úprava\odstranění rolí zabezpečení
  • Create\upravit vlastní pravidla zjišťování
  • Přiřazení uživatele k incidentům

Úplný seznam auditovaných Microsoft Defender XDR aktivit najdete v tématu aktivity Microsoft Defender XDR a aktivity Microsoft Defender for Endpoint.

Požadavky

Pokud chcete získat přístup k protokolu auditování, musíte mít v Exchange Online roli Protokoly auditu jen pro zobrazení nebo Protokoly auditu. Ve výchozím nastavení se tyto role přiřazují skupinám rolí Správa dodržování předpisů a Správa organizace.

Poznámka

Globální správci v Office 365 a Microsoft 365 se automaticky přidají jako členové skupiny rolí Správa organizace v Exchange Online.

Zapnutí auditování v Microsoft Defender XDR

Microsoft Defender XDR používá řešení auditování Microsoft Purview, než se můžete podívat na data auditu na portálu Microsoft Defender XDR:

  • Měli byste ověřit, že je auditování v Portál dodržování předpisů Microsoft Purview zapnuté. Další informace najdete v tématu Zapnutí nebo vypnutí auditování.

  • Pokud chcete povolit jednotný protokol auditu na portálu Microsoft Defender XDR, postupujte následovně:

    1. Přihlaste se k Microsoft Defender XDR pomocí účtu s přiřazenou rolí Správce zabezpečení nebo Globální správce.
    2. V navigačním podokně vyberte Nastavení>Koncové body>Pokročilé funkce.
    3. Posuňte se do části Jednotný protokol auditování a přepněte nastavení na Zapnuto.

    Snímek obrazovky s přepínačem sjednoceného protokolu auditu v Microsoft Defender XDR upřesňujících nastavení 4 Vyberte Uložit předvolby.

Použití vyhledávání auditu v Microsoft Defender XDR

  1. Pokud chcete načíst protokoly auditu pro aktivity Microsoft Defender XDR, přejděte na stránku Microsoft Defender XDR Audit nebo na portál dodržování předpisů Purview a vyberte Audit.

    Snímek obrazovky se stránkou sjednoceného protokolu auditu v Microsoft Defender XDR

  2. Na stránce Nový Search vyfiltrujte aktivity, data a uživatele, které chcete auditovat.

  3. Vyberte Search.

    Snímek obrazovky s možnostmi sjednoceného vyhledávání v protokolu auditování v Microsoft Defender XDR

  4. Exportujte výsledky do Excelu pro další analýzu.

Podrobné pokyny najdete v tématu Search protokolu auditu na portálu pro dodržování předpisů.

Uchovávání záznamů protokolu auditu je založené na zásadách uchovávání informací v Microsoft Purview. Další informace najdete v tématu Správa zásad uchovávání protokolů auditu.

Microsoft Defender XDR aktivity

Seznam všech událostí, které se protokolují pro aktivity uživatelů a správců v Microsoft Defender XDR v protokolu auditování Microsoftu 365, najdete tady:

Microsoft Defender for Endpoint aktivity

Seznam všech událostí, které se protokolují pro aktivity uživatelů a správců v Microsoft Defender for Endpoint v protokolu auditování Microsoftu 365, najdete tady:

Použití skriptu PowerShellu

Následující fragment kódu PowerShellu můžete použít k dotazování rozhraní API Office 365 Management a načíst informace o událostech Microsoft Defender XDR:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Poznámka

Hodnoty typu záznamu najdete ve sloupci ROZHRANÍ API v tématu Zahrnuté aktivity auditu.

Další zdroje informací