Überwachung
Gilt für:
Als Mandantenadministrator können Sie Microsoft Purview verwenden, um die Überwachungsprotokolle nach den Zeiten zu durchsuchen, Microsoft Defender Experten sich bei Ihrem Mandanten angemeldet haben, und nach den Aktionen, die sie dort ausgeführt haben, um ihre Untersuchungen durchzuführen. Sie können auch die Überwachungsprotokolle nach den Änderungen durchsuchen, die von Ihren Mandantenadministratoren an den Defender Experts-Einstellungen vorgenommen wurden.
Die Überwachung (Standard) ist standardmäßig für alle Microsoft Defender Experts for XDR-Kunden aktiviert, wenn dem Mandanten kostenpflichtige Lizenzen zugewiesen werden. Wenn Sie über eine Testlizenz verfügen, arbeiten Sie mit Ihrem Service Delivery Manager zusammen, um Die Überwachung zu aktivieren, falls dies noch nicht der Fall ist.
Hinweis
Stellen Sie sicher, dass Sie über die richtigen Berechtigungen zum Suchen nach Überwachungsprotokollen verfügen.
Search der Überwachungsprotokolle für Aktionen, die von Defender Experts ausgeführt werden
- Melden Sie sich beim Microsoft Purview-Complianceportal an, um "Neue Search überwachen" zu verwenden.
- Geben Sie einen Datums- und Uhrzeitbereich (UTC) an.
- Wählen Sie den Workload - und Datensatztyp aus der liste aus, die in der folgenden Tabelle angezeigt wird, um Ihre Suche weiter einzugrenzen.
- Wählen Sie Search aus, um die Überwachungsprotokolle im Zusammenhang mit aktionen aufzulisten, die von unseren Experten in Ihrem Mandanten ausgeführt wurden.
| Von Defender-Experten ausgeführte Aktion | Arbeitslast | Eintragstyp |
|---|---|---|
| Anmelden beim Kundenmandanten | AzureActiveDirectory | AzureActiveDirectoryStsLogon |
| Vornehmen von Änderungen an Incidents in Microsoft Defender Portal | Microsoft365Defender | MS365Dincident |
| Änderungen an Warnungsunterdrückungsregeln in Microsoft Defender Portal vornehmen | Microsoft365Defender | MS365DSuppressionRule |
| Änderungen an Indikatoren in Microsoft Defender for Endpoint | MicrosoftDefenderForEndpoint | MSDEIndicatorsSettings |
| Ausführen von Gerätewartungsaktionen in Microsoft Defender for Endpoint | MicrosoftDefenderForEndpoint | MSDEResponseActions |
Search die Überwachungsprotokolle für Aktionen, die von Ihren Administratoren in den Defender Experts-Einstellungen ausgeführt werden
- Melden Sie sich beim Microsoft Purview-Complianceportal an, um "Neue Search überwachen" zu verwenden.
- Geben Sie einen Datums- und Uhrzeitbereich (UTC) an.
- Wählen Sie unter Workload die Option MicrosoftDefenderExperts aus.
- Wählen Sie Search aus, um die Überwachungsprotokolle im Zusammenhang mit Aktionen aufzulisten, die von Ihren Mandantenadministratoren in den Defender Experts-Einstellungen ausgeführt werden.
Search der Überwachungsprotokolle mithilfe eines PowerShell-Skripts
Zusätzlich zur Verwendung von Audit New Search im Microsoft Purview-Complianceportal können Sie PowerShell-Cmdlets verwenden, um nach Überwachungsprotokollen zu suchen. Weitere Informationen.
Siehe auch
Wichtige Überlegungen für Microsoft Defender Experts for XDR
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für