Del via


Søg i overvågningsloggen efter hændelser i Microsoft Defender XDR

Gælder for:

Overvågningsloggen kan hjælpe dig med at undersøge bestemte aktiviteter på tværs af Microsoft 365-tjenester. I Microsoft Defender XDR-portalen overvåges Microsoft Defender XDR- og Microsoft Defender for Endpoint-aktiviteter. Nogle af de reviderede aktiviteter er:

  • Ændringer af indstillinger for dataopbevaring
  • Ændringer af avancerede funktioner
  • Udarbejdelse af kompromisindikatorer
  • Isolation af enheder
  • Tilføj\rediger\sletning af sikkerhedsroller
  • Opret\rediger regler for brugerdefineret registrering
  • Tildel bruger til en hændelse

Du kan finde en komplet liste over Microsoft Defender XDR-aktiviteter, der overvåges, under Microsoft Defender XDR-aktiviteter og Microsoft Defender for Endpoint-aktiviteter.

Forudsætninger

Hvis du vil have adgang til overvågningsloggen, skal du have rollen Vis kun overvågningslogge eller Overvågningslogge i Exchange Online. Disse roller tildeles som standard til rollegrupperne Administration af overholdelse og Organisationsadministration.

Bemærk!

Globale administratorer i Office 365 og Microsoft 365 tilføjes automatisk som medlemmer af rollegruppen Organisationsadministration i Exchange Online.

Slå overvågning til i Microsoft Defender XDR

Microsoft Defender XDR bruger Microsoft Purview-overvågningsløsningen, før du kan se overvågningsdataene på Microsoft Defender XDR-portalen:

  • Du skal bekræfte, at overvågning er slået til på Microsoft Purview-overholdelsesportalen. Du kan få flere oplysninger under Slå overvågning til eller fra.

  • Følg nedenstående trin for at aktivere den samlede overvågningslog på Microsoft Defender XDR-portalen:

    1. Log på Microsoft Defender XDR ved hjælp af en konto med rollen Sikkerhedsadministrator eller Global administrator tildelt.
    2. Vælg Indstillinger>Slutpunkter>Avancerede funktioner i navigationsruden.
    3. Rul til Unified-overvågningsloggen , og slå indstillingen til Til.

    Skærmbillede af den samlede overvågningslog i avancerede indstillinger for Microsoft Defender XDR 4. Vælg Gem indstillinger.

Vigtigt!

Global administrator er en rolle med mange rettigheder, der bør begrænses til scenarier, når du ikke kan bruge en eksisterende rolle. Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation.

Brug af overvågningssøgning i Microsoft Defender XDR

  1. Hvis du vil hente overvågningslogge for Microsoft Defender XDR-aktiviteter, skal du gå til siden Microsoft Defender XDR-overvågning eller gå til portalen Purview compliance og vælge Audit.

    Skærmbillede af den samlede overvågningslogside i Microsoft Defender XDR

  2. På siden Ny søgning skal du filtrere de aktiviteter, datoer og brugere, du vil overvåge.

  3. Vælg Søg

    Skærmbillede af søgeindstillingerne for samlet overvågningslog i Microsoft Defender XDR

  4. Eksportér dine resultater til Excel for at få yderligere analyse.

Du kan finde en trinvis vejledning under Søg i overvågningsloggen på overholdelsesportalen.

Opbevaring af overvågningslogposter er baseret på Politikker for opbevaring af Microsoft Purview. Du kan få flere oplysninger under Administrer opbevaringspolitikker for overvågningslog.

Microsoft Defender XDR-aktiviteter

Du kan se en liste over alle hændelser, der er logført for bruger- og administratoraktiviteter i Microsoft Defender XDR i Microsoft 365-overvågningsloggen, i:

Microsoft Defender for Endpoint-aktiviteter

Du kan finde en liste over alle hændelser, der er logført for bruger- og administratoraktiviteter i Microsoft Defender for Endpoint i Microsoft 365-overvågningsloggen, i:

Brug af et PowerShell-script

Du kan bruge følgende PowerShell-kodestykke til at forespørge Office 365 Management API for at hente oplysninger om Microsoft Defender XDR-hændelser:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Bemærk!

Se kolonnen API i De overvågningsaktiviteter, der er inkluderet for posttypeværdierne.

Yderligere ressourcer