Búsqueda el registro de auditoría de los eventos de Microsoft Defender XDR

Artículo
04/28/2024

Se aplica a:

El registro de auditoría puede ayudarle a investigar actividades específicas en los servicios de Microsoft 365. En el portal de Microsoft Defender XDR, se auditan las actividades Microsoft Defender XDR y Microsoft Defender para punto de conexión. Algunas de las actividades auditadas son:

Cambios en la configuración de retención de datos
Cambios en las características avanzadas
Creación de indicadores de riesgo
Aislamiento de dispositivos
Adición\edición\eliminación de roles de seguridad
Create\editar reglas de detección personalizadas
Asignación de un usuario a un incidente

Para obtener una lista completa de las actividades de Microsoft Defender XDR auditadas, consulte Microsoft Defender XDR actividades y actividades de Microsoft Defender para punto de conexión.

Requisitos

Para acceder al registro de auditoría, debe tener el rol Registros de auditoría de solo vista o Registros de auditoría en Exchange Online. De forma predeterminada, esos roles se asignan a los grupos de roles Administración de cumplimiento y Administración de la organización.

Nota:

Los administradores globales de Office 365 y Microsoft 365 se agregan automáticamente como miembros del grupo de roles de administración de la organización en Exchange Online.

Activar la auditoría en Microsoft Defender XDR

Microsoft Defender XDR usa la solución de auditoría de Microsoft Purview, antes de ver los datos de auditoría en el portal de Microsoft Defender XDR:

Debe confirmar que la auditoría está activada en el portal de cumplimiento Microsoft Purview. Para obtener más información, vea Activar o desactivar la auditoría.
Siga los pasos siguientes para habilitar el registro de auditoría unificado en el portal de Microsoft Defender XDR:
1. Inicie sesión en Microsoft Defender XDR con una cuenta con el rol Administrador de seguridad o Administrador global asignado.
2. En el panel de navegación, seleccione Configuración>Puntos de conexiónCaracterísticas avanzadas>.
3. Desplácese por sí mismo al registro de auditoría unificado y cambie la configuración a Activado.
4. Seleccione Guardar preferencias.

Uso de la búsqueda de auditoría en Microsoft Defender XDR

Para recuperar los registros de auditoría de Microsoft Defender XDR actividades, vaya a la página Auditoría de Microsoft Defender XDR o vaya al portal de cumplimiento de Purview y seleccione Auditar.
En la página Nuevo Búsqueda, filtre las actividades, las fechas y los usuarios que desea auditar.
Seleccione Búsqueda
Exporte los resultados a Excel para un análisis más exhaustivo.

Para obtener instrucciones paso a paso, consulte Búsqueda el registro de auditoría en el portal de cumplimiento.

La retención de registros de auditoría se basa en las directivas de retención de Microsoft Purview. Para obtener más información, vea administrar directivas de retención de los registros de auditoría.

actividades de Microsoft Defender XDR

Para obtener una lista de todos los eventos registrados para las actividades de usuario y administrador en Microsoft Defender XDR en el registro de auditoría de Microsoft 365, consulte:

actividades de Microsoft Defender para punto de conexión

Para obtener una lista de todos los eventos que se registran para las actividades de usuario y administrador en Microsoft Defender para punto de conexión en el registro de auditoría de Microsoft 365, consulte:

Uso de un script de PowerShell

Puede usar el siguiente fragmento de código de PowerShell para consultar la API de administración de Office 365 para recuperar información sobre los eventos de Microsoft Defender XDR:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>