Search des Überwachungsprotokolls für Ereignisse in Microsoft Defender XDR

Artikel
04/27/2024

Gilt für:

Das Überwachungsprotokoll kann Ihnen helfen, bestimmte Aktivitäten in Microsoft 365-Diensten zu untersuchen. Im Microsoft Defender XDR-Portal werden Microsoft Defender XDR- und Microsoft Defender for Endpoint-Aktivitäten überwacht. Einige der überwachten Aktivitäten sind:

Änderungen an den Einstellungen für die Datenaufbewahrung
Änderungen an erweiterten Features
Erstellung von Kompromissindikatoren
Isolation von Geräten
Hinzufügen\Bearbeiten\Löschen von Sicherheitsrollen
Create\benutzerdefinierte Erkennungsregeln bearbeiten
Zuweisen eines Benutzers zu einem Incident

Eine vollständige Liste der Microsoft Defender XDR Aktivitäten, die überwacht werden, finden Sie unter Microsoft Defender XDR Aktivitäten und Microsoft Defender for Endpoint Aktivitäten.

Anforderungen

Für den Zugriff auf das Überwachungsprotokoll benötigen Sie die Rolle Nur anzeigen oder Überwachungsprotokolle in Exchange Online. Standardmäßig werden diese Rollen den Rollengruppen Complianceverwaltung und Organisationsverwaltung zugewiesen.

Hinweis

Globale Administratoren in Office 365 und Microsoft 365 werden automatisch als Mitglieder der Rollengruppe „Organisationsverwaltung“ in Exchange Online hinzugefügt.

Aktivieren der Überwachung in Microsoft Defender XDR

Microsoft Defender XDR verwendet die Microsoft Purview-Überwachungslösung, bevor Sie die Überwachungsdaten im Microsoft Defender XDR-Portal anzeigen können:

Vergewissern Sie sich, dass die Überwachung im Microsoft Purview-Complianceportal aktiviert ist. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung.
Führen Sie die folgenden Schritte aus, um das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal zu aktivieren:
1. Melden Sie sich bei Microsoft Defender XDR mit einem Konto an, für das der Sicherheitsadministrator oder globaler Administrator Rolle zugewiesen ist.
2. Wählen Sie im Navigationsbereich Einstellungen>Endpunkte>Erweiterte Features aus.
3. Scrollen Sie zum einheitlichen Überwachungsprotokoll, und schalten Sie die Einstellung auf Ein um.
4. Wählen Sie Einstellungen speichern aus.

Verwenden der Überwachungssuche in Microsoft Defender XDR

Navigieren Sie zum Abrufen von Überwachungsprotokollen für Microsoft Defender XDR Aktivitäten zur Seite Microsoft Defender XDR Überwachung, oder wechseln Sie zum Purview-Complianceportal, und wählen Sie Überwachen aus.
Filtern Sie auf der Seite Neue Search die Aktivitäten, Datumsangaben und Benutzer, die Sie überwachen möchten.
Wählen Sie Search aus.
Exportieren Sie die Ergebnisse zur weiteren Analyse nach Excel.

Schritt-für-Schritt-Anweisungen finden Sie unter Search überwachungsprotokoll im Complianceportal.

Die Aufbewahrung von Überwachungsprotokolldatensätzen basiert auf Microsoft Purview-Aufbewahrungsrichtlinien. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Microsoft Defender XDR Aktivitäten

Eine Liste aller Ereignisse, die für Benutzer- und Administratoraktivitäten in Microsoft Defender XDR im Microsoft 365-Überwachungsprotokoll protokolliert werden, finden Sie unter:

Microsoft Defender for Endpoint Aktivitäten

Eine Liste aller Ereignisse, die für Benutzer- und Administratoraktivitäten in Microsoft Defender for Endpoint im Microsoft 365-Überwachungsprotokoll protokolliert werden, finden Sie unter:

Verwenden eines PowerShell-Skripts

Sie können den folgenden PowerShell-Codeausschnitt verwenden, um die Office 365 Management-API abzufragen, um Informationen zu Microsoft Defender XDR Ereignissen abzurufen:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>