Compartir a través de


Auditoría

Se aplica a:

Como administrador de inquilinos, puede usar Microsoft Purview para buscar en los registros de auditoría las horas Microsoft Defender que los expertos iniciaron sesión en el inquilino y las acciones que realizaron allí para realizar sus investigaciones. También puede buscar en los registros de auditoría los cambios realizados por los administradores de inquilinos en la configuración de Expertos de Defender.

La auditoría (estándar) está activada de forma predeterminada para todos los Microsoft Defender Expertos para clientes de XDR cuando se asignan licencias de pago al inquilino. Si tiene una licencia de prueba, trabaje con el administrador de entrega de servicios para activar Auditar si aún no lo está.

Nota:

Asegúrese de que tiene los permisos adecuados para buscar registros de auditoría.

Búsqueda los registros de auditoría de las acciones realizadas por expertos de Defender

  1. Inicie sesión en el portal de cumplimiento Microsoft Purview para usar Audit New Búsqueda.
  2. Proporcione un intervalo de fecha y hora (UTC).
  3. Seleccione la carga de trabajo y el tipo de registro en la lista que se muestra en la tabla siguiente para restringir aún más la búsqueda.
  4. Seleccione Búsqueda para enumerar los registros de auditoría relacionados con las acciones realizadas por nuestros expertos en el inquilino.

Captura de pantalla parcial de portal de cumplimiento Microsoft Purview página de búsqueda Nueva de Defender.

Acción realizada por expertos de Defender Carga de trabajo Tipo de registro
Inicio de sesión en el inquilino del cliente AzureActiveDirectory AzureActiveDirectoryStsLogon
Realizar cambios en incidentes en Microsoft Defender portal Microsoft365Defender MS365Dincident
Realizar cambios en las reglas de supresión de alertas en Microsoft Defender portal Microsoft365Defender MS365DSuppressionRule
Realizar cambios en los indicadores en Microsoft Defender para punto de conexión MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
Realizar acciones de corrección de dispositivos en Microsoft Defender para punto de conexión MicrosoftDefenderForEndpoint MSDEResponseActions

Captura de pantalla parcial de un registro de auditoría de ejemplo relacionado con expertos de Defender.

Búsqueda los registros de auditoría de las acciones realizadas por los administradores en la configuración de Expertos de Defender

  1. Inicie sesión en el portal de cumplimiento Microsoft Purview para usar Audit New Búsqueda.
  2. Proporcione un intervalo de fecha y hora (UTC).
  3. En Carga de trabajo, elija MicrosoftDefenderExperts.
  4. Seleccione Búsqueda para enumerar los registros de auditoría relacionados con las acciones realizadas por los administradores de inquilinos en la configuración de Expertos de Defender.

Captura de pantalla parcial de portal de cumplimiento Microsoft Purview página de búsqueda Nueva de Defender que muestra el campo Carga de trabajo seleccionado para MicrosoftDefenderExperts.

Búsqueda los registros de auditoría mediante un script de PowerShell

Además de usar Audit New Búsqueda en el portal de cumplimiento Microsoft Purview, puede usar cmdlets de PowerShell para buscar registros de auditoría. Más información.

Consulte también

Consideraciones importantes para Microsoft Defender Expertos en XDR

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.