Search des Überwachungsprotokolls für Ereignisse in Microsoft Defender XDR
Gilt für:
Das Überwachungsprotokoll kann Ihnen helfen, bestimmte Aktivitäten in Microsoft 365-Diensten zu untersuchen. Im Microsoft Defender XDR-Portal werden Microsoft Defender XDR- und Microsoft Defender for Endpoint-Aktivitäten überwacht. Einige der überwachten Aktivitäten sind:
- Änderungen an den Einstellungen für die Datenaufbewahrung
- Änderungen an erweiterten Features
- Erstellung von Kompromissindikatoren
- Isolation von Geräten
- Hinzufügen\Bearbeiten\Löschen von Sicherheitsrollen
- Create\benutzerdefinierte Erkennungsregeln bearbeiten
- Zuweisen eines Benutzers zu einem Incident
Eine vollständige Liste der Microsoft Defender XDR Aktivitäten, die überwacht werden, finden Sie unter Microsoft Defender XDR Aktivitäten und Microsoft Defender for Endpoint Aktivitäten.
Anforderungen
Für den Zugriff auf das Überwachungsprotokoll benötigen Sie die Rolle Nur anzeigen oder Überwachungsprotokolle in Exchange Online. Standardmäßig werden diese Rollen den Rollengruppen Complianceverwaltung und Organisationsverwaltung zugewiesen.
Hinweis
Globale Administratoren in Office 365 und Microsoft 365 werden automatisch als Mitglieder der Rollengruppe „Organisationsverwaltung“ in Exchange Online hinzugefügt.
Aktivieren der Überwachung in Microsoft Defender XDR
Microsoft Defender XDR verwendet die Microsoft Purview-Überwachungslösung, bevor Sie die Überwachungsdaten im Microsoft Defender XDR-Portal anzeigen können:
Vergewissern Sie sich, dass die Überwachung im Microsoft Purview-Complianceportal aktiviert ist. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung.
Führen Sie die folgenden Schritte aus, um das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal zu aktivieren:
- Melden Sie sich bei Microsoft Defender XDR mit einem Konto an, für das der Sicherheitsadministrator oder globaler Administrator Rolle zugewiesen ist.
- Wählen Sie im Navigationsbereich Einstellungen>Endpunkte>Erweiterte Features aus.
- Scrollen Sie zum einheitlichen Überwachungsprotokoll, und schalten Sie die Einstellung auf Ein um.
Verwenden der Überwachungssuche in Microsoft Defender XDR
Navigieren Sie zum Abrufen von Überwachungsprotokollen für Microsoft Defender XDR Aktivitäten zur Seite Microsoft Defender XDR Überwachung, oder wechseln Sie zum Purview-Complianceportal, und wählen Sie Überwachen aus.
Filtern Sie auf der Seite Neue Search die Aktivitäten, Datumsangaben und Benutzer, die Sie überwachen möchten.
Wählen Sie Search aus.
Exportieren Sie die Ergebnisse zur weiteren Analyse nach Excel.
Schritt-für-Schritt-Anweisungen finden Sie unter Search überwachungsprotokoll im Complianceportal.
Die Aufbewahrung von Überwachungsprotokolldatensätzen basiert auf Microsoft Purview-Aufbewahrungsrichtlinien. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.
Microsoft Defender XDR Aktivitäten
Eine Liste aller Ereignisse, die für Benutzer- und Administratoraktivitäten in Microsoft Defender XDR im Microsoft 365-Überwachungsprotokoll protokolliert werden, finden Sie unter:
- Benutzerdefinierte Erkennungsaktivitäten in Microsoft Defender XDR im Überwachungsprotokoll
- Incidentaktivitäten in Microsoft Defender XDR im Überwachungsprotokoll
- Unterdrückungsregelaktivitäten in Microsoft Defender XDR im Überwachungsprotokoll
Microsoft Defender for Endpoint Aktivitäten
Eine Liste aller Ereignisse, die für Benutzer- und Administratoraktivitäten in Microsoft Defender for Endpoint im Microsoft 365-Überwachungsprotokoll protokolliert werden, finden Sie unter:
- Aktivitäten für allgemeine Einstellungen in Defender für Endpunkt im Überwachungsprotokoll
- Aktivitäten für Indikatoreinstellungen in Defender für Endpunkt im Überwachungsprotokoll
- Reaktionsaktionsaktivitäten in Defender für Endpunkt im Überwachungsprotokoll
- Aktivitäten für Rolleneinstellungen in Defender für Endpunkt im Überwachungsprotokoll
Verwenden eines PowerShell-Skripts
Sie können den folgenden PowerShell-Codeausschnitt verwenden, um die Office 365 Management-API abzufragen, um Informationen zu Microsoft Defender XDR Ereignissen abzurufen:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
Hinweis
Informationen zu den Datensatztypwerten finden Sie in der API-Spalte unter Überwachungsaktivitäten enthalten.
Zusätzliche Ressourcen
- Durchsuchen des Überwachungsprotokolls im Compliance Center
- Verwenden eines PowerShell-Skripts zum Durchsuchen des Überwachungsprotokolls
- Detaillierte Eigenschaften im Überwachungsprotokoll
- Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen
- Office 365-Verwaltungsaktivitäts-API – Referenz
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für