Søg i overvågningsloggen efter hændelser i Microsoft Defender XDR
Gælder for:
Overvågningsloggen kan hjælpe dig med at undersøge bestemte aktiviteter på tværs af Microsoft 365-tjenester. I Microsoft Defender XDR-portalen overvåges Microsoft Defender XDR- og Microsoft Defender for Endpoint-aktiviteter. Nogle af de reviderede aktiviteter er:
- Ændringer af indstillinger for dataopbevaring
- Ændringer af avancerede funktioner
- Udarbejdelse af kompromisindikatorer
- Isolation af enheder
- Tilføj\rediger\sletning af sikkerhedsroller
- Opret\rediger regler for brugerdefineret registrering
- Tildel bruger til en hændelse
Du kan finde en komplet liste over Microsoft Defender XDR-aktiviteter, der overvåges, under Microsoft Defender XDR-aktiviteter og Microsoft Defender for Endpoint-aktiviteter.
Forudsætninger
Hvis du vil have adgang til overvågningsloggen, skal du have rollen Vis kun overvågningslogge eller Overvågningslogge i Exchange Online. Disse roller tildeles som standard til rollegrupperne Administration af overholdelse og Organisationsadministration.
Bemærk!
Globale administratorer i Office 365 og Microsoft 365 tilføjes automatisk som medlemmer af rollegruppen Organisationsadministration i Exchange Online.
Slå overvågning til i Microsoft Defender XDR
Microsoft Defender XDR bruger Microsoft Purview-overvågningsløsningen, før du kan se overvågningsdataene på Microsoft Defender XDR-portalen:
Du skal bekræfte, at overvågning er slået til på Microsoft Purview-overholdelsesportalen. Du kan få flere oplysninger under Slå overvågning til eller fra.
Følg nedenstående trin for at aktivere den samlede overvågningslog på Microsoft Defender XDR-portalen:
- Log på Microsoft Defender XDR ved hjælp af en konto med rollen Sikkerhedsadministrator eller Global administrator tildelt.
- Vælg Indstillinger>Slutpunkter>Avancerede funktioner i navigationsruden.
- Rul til Unified-overvågningsloggen , og slå indstillingen til Til.
Vigtigt!
Global administrator er en rolle med mange rettigheder, der bør begrænses til scenarier, når du ikke kan bruge en eksisterende rolle. Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation.
Brug af overvågningssøgning i Microsoft Defender XDR
Hvis du vil hente overvågningslogge for Microsoft Defender XDR-aktiviteter, skal du gå til siden Microsoft Defender XDR-overvågning eller gå til portalen Purview compliance og vælge Audit.
På siden Ny søgning skal du filtrere de aktiviteter, datoer og brugere, du vil overvåge.
Vælg Søg
Eksportér dine resultater til Excel for at få yderligere analyse.
Du kan finde en trinvis vejledning under Søg i overvågningsloggen på overholdelsesportalen.
Opbevaring af overvågningslogposter er baseret på Politikker for opbevaring af Microsoft Purview. Du kan få flere oplysninger under Administrer opbevaringspolitikker for overvågningslog.
Microsoft Defender XDR-aktiviteter
Du kan se en liste over alle hændelser, der er logført for bruger- og administratoraktiviteter i Microsoft Defender XDR i Microsoft 365-overvågningsloggen, i:
- Brugerdefinerede registreringsaktiviteter i Microsoft Defender XDR i overvågningsloggen
- Hændelsesaktiviteter i Microsoft Defender XDR i overvågningsloggen
- Undertrykkelse af regelaktiviteter i Microsoft Defender XDR i overvågningsloggen
Microsoft Defender for Endpoint-aktiviteter
Du kan finde en liste over alle hændelser, der er logført for bruger- og administratoraktiviteter i Microsoft Defender for Endpoint i Microsoft 365-overvågningsloggen, i:
- Generelle indstillinger for aktiviteter i Defender for Endpoint i overvågningsloggen
- Aktivitet for indikatorindstillinger i Defender for Endpoint i overvågningsloggen
- Aktiviteter for svarhandlinger i Defender for Endpoint i overvågningsloggen
- Rolleindstillingsaktiviteter i Defender for Endpoint i overvågningsloggen
Brug af et PowerShell-script
Du kan bruge følgende PowerShell-kodestykke til at forespørge Office 365 Management API for at hente oplysninger om Microsoft Defender XDR-hændelser:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
Bemærk!
Se kolonnen API i De overvågningsaktiviteter, der er inkluderet for posttypeværdierne.