Partager via

Audit

  • Article

S’applique à :

En tant qu’administrateur de locataire, vous pouvez utiliser Microsoft Purview pour rechercher dans les journaux d’audit les heures Microsoft Defender experts se sont connectés à votre locataire et les actions qu’ils y ont effectuées pour effectuer leurs investigations. Vous pouvez également rechercher dans les journaux d’audit les modifications apportées par vos administrateurs de locataire aux paramètres Defender Experts.

L’audit (Standard) est activé par défaut pour tous les Microsoft Defender Experts pour les clients XDR lorsque des licences payantes sont attribuées au locataire. Si vous disposez d’une licence d’évaluation, collaborez avec votre gestionnaire de livraison de services pour activer l’audit si ce n’est pas encore le cas.

Remarque

Vérifiez que vous disposez des autorisations appropriées pour rechercher des journaux d’audit.

Recherche les journaux d’audit pour les actions effectuées par les experts Defender

  1. Connectez-vous au portail de conformité Microsoft Purview pour utiliser auditer la nouvelle Recherche.
  2. Indiquez une plage de dates et d’heures (UTC).
  3. Sélectionnez la charge de travail et le type d’enregistrement dans la liste indiquée dans le tableau suivant pour affiner davantage votre recherche.
  4. Sélectionnez Recherche pour répertorier les journaux d’audit liés aux actions effectuées par nos experts dans votre locataire.

Capture d’écran partielle de portail de conformité Microsoft Purview page de recherche de Defender.

Action effectuée par les experts Defender Charge de travail Type d’enregistrement
Se connecter au locataire du client AzureActiveDirectory AzureActiveDirectoryStsLogon
Apporter des modifications aux incidents dans Microsoft Defender portail Microsoft365Defender MS365Dincident
Apporter des modifications aux règles de suppression des alertes dans Microsoft Defender portail Microsoft365Defender MS365DSuppressionRule
Apporter des modifications aux indicateurs dans Microsoft Defender pour point de terminaison MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
Effectuer des actions de correction d’appareil dans Microsoft Defender pour point de terminaison MicrosoftDefenderForEndpoint MSDEResponseActions

Capture d’écran partielle d’un exemple de journal d’audit lié à Defender Experts.

Recherche les journaux d’audit pour les actions effectuées par vos administrateurs dans les paramètres Defender Experts

  1. Connectez-vous au portail de conformité Microsoft Purview pour utiliser auditer la nouvelle Recherche.
  2. Indiquez une plage de dates et d’heures (UTC).
  3. Sous Charge de travail, choisissez MicrosoftDefenderExperts.
  4. Sélectionnez Recherche pour répertorier les journaux d’audit liés aux actions effectuées par les administrateurs de votre locataire dans les paramètres Defender Experts.

Capture d’écran partielle de portail de conformité Microsoft Purview page de recherche Defender montrant le champ Charge de travail sélectionné sur MicrosoftDefenderExperts.

Recherche les journaux d’audit à l’aide d’un script PowerShell

En plus d’utiliser Audit New Recherche dans le portail de conformité Microsoft Purview, vous pouvez utiliser des applets de commande PowerShell pour rechercher des journaux d’audit. En savoir plus.

Voir aussi

Considérations importantes pour Microsoft Defender Experts pour XDR

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.