Durchsuchen des Überwachungsprotokolls nach Ereignissen in Microsoft Defender XDR
Gilt für:
Das Überwachungsprotokoll kann Ihnen helfen, bestimmte Aktivitäten in Microsoft 365-Diensten zu untersuchen. Im Microsoft Defender XDR-Portal werden Microsoft Defender XDR- und Microsoft Defender für Endpunkt-Aktivitäten überwacht. Einige der überwachten Aktivitäten sind:
- Änderungen an den Einstellungen für die Datenaufbewahrung
- Änderungen an erweiterten Features
- Erstellung von Kompromissindikatoren
- Isolation von Geräten
- Hinzufügen\Bearbeiten\Löschen von Sicherheitsrollen
- Erstellen\Bearbeiten von benutzerdefinierten Erkennungsregeln
- Zuweisen eines Benutzers zu einem Incident
Eine vollständige Liste der überwachten Microsoft Defender XDR-Aktivitäten finden Sie unter Microsoft Defender XDR-Aktivitäten und Microsoft Defender für Endpunkt-Aktivitäten.
Anforderungen
Für den Zugriff auf das Überwachungsprotokoll benötigen Sie die Rolle Nur Anzeigen von Überwachungsprotokollen oder Überwachungsprotokollen in Exchange Online. Standardmäßig werden diese Rollen den Rollengruppen Complianceverwaltung und Organisationsverwaltung zugewiesen.
Hinweis
Globale Administratoren in Office 365 und Microsoft 365 werden automatisch als Mitglieder der Rollengruppe „Organisationsverwaltung“ in Exchange Online hinzugefügt.
Aktivieren der Überwachung in Microsoft Defender XDR
Microsoft Defender XDR verwendet die Microsoft Purview-Überwachungslösung, bevor Sie die Überwachungsdaten im Microsoft Defender XDR-Portal anzeigen können:
Sie sollten sich vergewissern, dass die Überwachung im Microsoft Purview-Complianceportal aktiviert ist. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung.
Führen Sie die folgenden Schritte aus, um das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal zu aktivieren:
- Melden Sie sich bei Microsoft Defender XDR mit einem Konto an, dem die Rolle "Sicherheitsadministrator" oder "Globaler Administrator" zugewiesen ist.
- Wählen Sie im Navigationsbereich Einstellungen>Endpunkte>Erweiterte Features aus.
- Scrollen Sie zum einheitlichen Überwachungsprotokoll, und schalten Sie die Einstellung auf Ein um.
Wichtig
Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Szenarien beschränkt sein sollte, in denen Sie keine vorhandene Rolle verwenden können. Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei.
Verwenden der Überwachungssuche in Microsoft Defender XDR
Navigieren Sie zum Abrufen von Überwachungsprotokollen für Microsoft Defender XDR-Aktivitäten zur Seite Microsoft Defender XDR-Überwachung , oder wechseln Sie zum Purview-Complianceportal , und wählen Sie Überwachen aus.
Filtern Sie auf der Seite Neue Suche die Aktivitäten, Datumsangaben und Benutzer, die Sie überwachen möchten.
Wählen Sie Suchen aus.
Exportieren Sie die Ergebnisse zur weiteren Analyse nach Excel.
Eine schrittweise Anleitung finden Sie unter Durchsuchen des Überwachungsprotokolls im Complianceportal.
Die Aufbewahrung von Überwachungsprotokolldatensätzen basiert auf Microsoft Purview-Aufbewahrungsrichtlinien. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.
Microsoft Defender XDR-Aktivitäten
Eine Liste aller Ereignisse, die für Benutzer- und Administratoraktivitäten in Microsoft Defender XDR im Microsoft 365-Überwachungsprotokoll protokolliert werden, finden Sie unter:
- Benutzerdefinierte Erkennungsaktivitäten in Microsoft Defender XDR im Überwachungsprotokoll
- Incidentaktivitäten in Microsoft Defender XDR im Überwachungsprotokoll
- Unterdrückungsregelaktivitäten in Microsoft Defender XDR im Überwachungsprotokoll
Microsoft Defender für Endpunkt-Aktivitäten
Eine Liste aller Ereignisse, die für Benutzer- und Administratoraktivitäten in Microsoft Defender für Endpunkt im Microsoft 365-Überwachungsprotokoll protokolliert werden, finden Sie unter:
- Aktivitäten für allgemeine Einstellungen in Defender für Endpunkt im Überwachungsprotokoll
- Aktivitäten für Indikatoreinstellungen in Defender für Endpunkt im Überwachungsprotokoll
- Reaktionsaktionsaktivitäten in Defender für Endpunkt im Überwachungsprotokoll
- Aktivitäten für Rolleneinstellungen in Defender für Endpunkt im Überwachungsprotokoll
Verwenden eines PowerShell-Skripts
Sie können den folgenden PowerShell-Codeausschnitt verwenden, um die Office 365-Verwaltungs-API abzufragen, um Informationen zu Microsoft Defender XDR-Ereignissen abzurufen:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
Hinweis
Informationen zu den Datensatztypwerten finden Sie in der API-Spalte unter Überwachungsaktivitäten enthalten.
Zusätzliche Ressourcen
- Durchsuchen des Überwachungsprotokolls im Compliance Center
- Verwenden eines PowerShell-Skripts zum Durchsuchen des Überwachungsprotokolls
- Detaillierte Eigenschaften im Überwachungsprotokoll
- Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen
- Office 365-Verwaltungsaktivitäts-API – Referenz