Freigeben über


Durchsuchen des Überwachungsprotokolls nach Ereignissen in Microsoft Defender XDR

Gilt für:

Das Überwachungsprotokoll kann Ihnen helfen, bestimmte Aktivitäten in Microsoft 365-Diensten zu untersuchen. Im Microsoft Defender XDR-Portal werden Microsoft Defender XDR- und Microsoft Defender für Endpunkt-Aktivitäten überwacht. Einige der überwachten Aktivitäten sind:

  • Änderungen an den Einstellungen für die Datenaufbewahrung
  • Änderungen an erweiterten Features
  • Erstellung von Kompromissindikatoren
  • Isolation von Geräten
  • Hinzufügen\Bearbeiten\Löschen von Sicherheitsrollen
  • Erstellen\Bearbeiten von benutzerdefinierten Erkennungsregeln
  • Zuweisen eines Benutzers zu einem Incident

Eine vollständige Liste der überwachten Microsoft Defender XDR-Aktivitäten finden Sie unter Microsoft Defender XDR-Aktivitäten und Microsoft Defender für Endpunkt-Aktivitäten.

Anforderungen

Für den Zugriff auf das Überwachungsprotokoll benötigen Sie die Rolle Nur Anzeigen von Überwachungsprotokollen oder Überwachungsprotokollen in Exchange Online. Standardmäßig werden diese Rollen den Rollengruppen Complianceverwaltung und Organisationsverwaltung zugewiesen.

Hinweis

Globale Administratoren in Office 365 und Microsoft 365 werden automatisch als Mitglieder der Rollengruppe „Organisationsverwaltung“ in Exchange Online hinzugefügt.

Aktivieren der Überwachung in Microsoft Defender XDR

Microsoft Defender XDR verwendet die Microsoft Purview-Überwachungslösung, bevor Sie die Überwachungsdaten im Microsoft Defender XDR-Portal anzeigen können:

  • Sie sollten sich vergewissern, dass die Überwachung im Microsoft Purview-Complianceportal aktiviert ist. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung.

  • Führen Sie die folgenden Schritte aus, um das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal zu aktivieren:

    1. Melden Sie sich bei Microsoft Defender XDR mit einem Konto an, dem die Rolle "Sicherheitsadministrator" oder "Globaler Administrator" zugewiesen ist.
    2. Wählen Sie im Navigationsbereich Einstellungen>Endpunkte>Erweiterte Features aus.
    3. Scrollen Sie zum einheitlichen Überwachungsprotokoll, und schalten Sie die Einstellung auf Ein um.

    Screenshot der Umschaltfläche für das einheitliche Überwachungsprotokoll in den erweiterten Einstellungen von Microsoft Defender XDR 4. Wählen Sie Einstellungen speichern aus.

Wichtig

Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Szenarien beschränkt sein sollte, in denen Sie keine vorhandene Rolle verwenden können. Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei.

Verwenden der Überwachungssuche in Microsoft Defender XDR

  1. Navigieren Sie zum Abrufen von Überwachungsprotokollen für Microsoft Defender XDR-Aktivitäten zur Seite Microsoft Defender XDR-Überwachung , oder wechseln Sie zum Purview-Complianceportal , und wählen Sie Überwachen aus.

    Screenshot der Seite

  2. Filtern Sie auf der Seite Neue Suche die Aktivitäten, Datumsangaben und Benutzer, die Sie überwachen möchten.

  3. Wählen Sie Suchen aus.

    Screenshot der Suchoptionen für einheitliche Überwachungsprotokolle in Microsoft Defender XDR

  4. Exportieren Sie die Ergebnisse zur weiteren Analyse nach Excel.

Eine schrittweise Anleitung finden Sie unter Durchsuchen des Überwachungsprotokolls im Complianceportal.

Die Aufbewahrung von Überwachungsprotokolldatensätzen basiert auf Microsoft Purview-Aufbewahrungsrichtlinien. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Microsoft Defender XDR-Aktivitäten

Eine Liste aller Ereignisse, die für Benutzer- und Administratoraktivitäten in Microsoft Defender XDR im Microsoft 365-Überwachungsprotokoll protokolliert werden, finden Sie unter:

Microsoft Defender für Endpunkt-Aktivitäten

Eine Liste aller Ereignisse, die für Benutzer- und Administratoraktivitäten in Microsoft Defender für Endpunkt im Microsoft 365-Überwachungsprotokoll protokolliert werden, finden Sie unter:

Verwenden eines PowerShell-Skripts

Sie können den folgenden PowerShell-Codeausschnitt verwenden, um die Office 365-Verwaltungs-API abzufragen, um Informationen zu Microsoft Defender XDR-Ereignissen abzurufen:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Hinweis

Informationen zu den Datensatztypwerten finden Sie in der API-Spalte unter Überwachungsaktivitäten enthalten.

Zusätzliche Ressourcen