Teilen über

Überwachung

  • Artikel

Gilt für:

Als Mandantenadministrator können Sie Microsoft Purview verwenden, um die Überwachungsprotokolle nach den Zeiten zu durchsuchen, Microsoft Defender Experten sich bei Ihrem Mandanten angemeldet haben, und nach den Aktionen, die sie dort ausgeführt haben, um ihre Untersuchungen durchzuführen. Sie können auch die Überwachungsprotokolle nach den Änderungen durchsuchen, die von Ihren Mandantenadministratoren an den Defender Experts-Einstellungen vorgenommen wurden.

Die Überwachung (Standard) ist standardmäßig für alle Microsoft Defender Experts for XDR-Kunden aktiviert, wenn dem Mandanten kostenpflichtige Lizenzen zugewiesen werden. Wenn Sie über eine Testlizenz verfügen, arbeiten Sie mit Ihrem Service Delivery Manager zusammen, um Die Überwachung zu aktivieren, falls dies noch nicht der Fall ist.

Hinweis

Stellen Sie sicher, dass Sie über die richtigen Berechtigungen zum Suchen nach Überwachungsprotokollen verfügen.

Search der Überwachungsprotokolle für Aktionen, die von Defender Experts ausgeführt werden

  1. Melden Sie sich beim Microsoft Purview-Complianceportal an, um "Neue Search überwachen" zu verwenden.
  2. Geben Sie einen Datums- und Uhrzeitbereich (UTC) an.
  3. Wählen Sie den Workload - und Datensatztyp aus der liste aus, die in der folgenden Tabelle angezeigt wird, um Ihre Suche weiter einzugrenzen.
  4. Wählen Sie Search aus, um die Überwachungsprotokolle im Zusammenhang mit aktionen aufzulisten, die von unseren Experten in Ihrem Mandanten ausgeführt wurden.

Teilscreenshot der Seite

Von Defender-Experten ausgeführte Aktion Arbeitslast Eintragstyp
Anmelden beim Kundenmandanten AzureActiveDirectory AzureActiveDirectoryStsLogon
Vornehmen von Änderungen an Incidents in Microsoft Defender Portal Microsoft365Defender MS365Dincident
Änderungen an Warnungsunterdrückungsregeln in Microsoft Defender Portal vornehmen Microsoft365Defender MS365DSuppressionRule
Änderungen an Indikatoren in Microsoft Defender for Endpoint MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
Ausführen von Gerätewartungsaktionen in Microsoft Defender for Endpoint MicrosoftDefenderForEndpoint MSDEResponseActions

Teilscreenshot eines Beispielüberwachungsprotokolls im Zusammenhang mit Defender Experts.

Search die Überwachungsprotokolle für Aktionen, die von Ihren Administratoren in den Defender Experts-Einstellungen ausgeführt werden

  1. Melden Sie sich beim Microsoft Purview-Complianceportal an, um "Neue Search überwachen" zu verwenden.
  2. Geben Sie einen Datums- und Uhrzeitbereich (UTC) an.
  3. Wählen Sie unter Workload die Option MicrosoftDefenderExperts aus.
  4. Wählen Sie Search aus, um die Überwachungsprotokolle im Zusammenhang mit Aktionen aufzulisten, die von Ihren Mandantenadministratoren in den Defender Experts-Einstellungen ausgeführt werden.

Teilscreenshot der Seite

Search der Überwachungsprotokolle mithilfe eines PowerShell-Skripts

Zusätzlich zur Verwendung von Audit New Search im Microsoft Purview-Complianceportal können Sie PowerShell-Cmdlets verwenden, um nach Überwachungsprotokollen zu suchen. Weitere Informationen.

Siehe auch

Wichtige Überlegungen für Microsoft Defender Experts for XDR

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.