Auditoría
Se aplica a:
Como administrador de inquilinos, puede usar Microsoft Purview para buscar en los registros de auditoría las horas Microsoft Defender que los expertos iniciaron sesión en el inquilino y las acciones que realizaron allí para realizar sus investigaciones. También puede buscar en los registros de auditoría los cambios realizados por los administradores de inquilinos en la configuración de Expertos de Defender.
La auditoría (estándar) está activada de forma predeterminada para todos los Microsoft Defender Expertos para clientes de XDR cuando se asignan licencias de pago al inquilino. Si tiene una licencia de prueba, trabaje con el administrador de entrega de servicios para activar Auditar si aún no lo está.
Nota:
Asegúrese de que tiene los permisos adecuados para buscar registros de auditoría.
Búsqueda los registros de auditoría de las acciones realizadas por expertos de Defender
- Inicie sesión en el portal de cumplimiento Microsoft Purview para usar Audit New Búsqueda.
- Proporcione un intervalo de fecha y hora (UTC).
- Seleccione la carga de trabajo y el tipo de registro en la lista que se muestra en la tabla siguiente para restringir aún más la búsqueda.
- Seleccione Búsqueda para enumerar los registros de auditoría relacionados con las acciones realizadas por nuestros expertos en el inquilino.
| Acción realizada por expertos de Defender | Carga de trabajo | Tipo de registro |
|---|---|---|
| Inicio de sesión en el inquilino del cliente | AzureActiveDirectory | AzureActiveDirectoryStsLogon |
| Realizar cambios en incidentes en Microsoft Defender portal | Microsoft365Defender | MS365Dincident |
| Realizar cambios en las reglas de supresión de alertas en Microsoft Defender portal | Microsoft365Defender | MS365DSuppressionRule |
| Realizar cambios en los indicadores en Microsoft Defender para punto de conexión | MicrosoftDefenderForEndpoint | MSDEIndicatorsSettings |
| Realizar acciones de corrección de dispositivos en Microsoft Defender para punto de conexión | MicrosoftDefenderForEndpoint | MSDEResponseActions |
Búsqueda los registros de auditoría de las acciones realizadas por los administradores en la configuración de Expertos de Defender
- Inicie sesión en el portal de cumplimiento Microsoft Purview para usar Audit New Búsqueda.
- Proporcione un intervalo de fecha y hora (UTC).
- En Carga de trabajo, elija MicrosoftDefenderExperts.
- Seleccione Búsqueda para enumerar los registros de auditoría relacionados con las acciones realizadas por los administradores de inquilinos en la configuración de Expertos de Defender.
Búsqueda los registros de auditoría mediante un script de PowerShell
Además de usar Audit New Búsqueda en el portal de cumplimiento Microsoft Purview, puede usar cmdlets de PowerShell para buscar registros de auditoría. Más información.
Consulte también
Consideraciones importantes para Microsoft Defender Expertos en XDR
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de