Audit
S’applique à :
En tant qu’administrateur de locataire, vous pouvez utiliser Microsoft Purview pour rechercher dans les journaux d’audit les heures Microsoft Defender experts se sont connectés à votre locataire et les actions qu’ils y ont effectuées pour effectuer leurs investigations. Vous pouvez également rechercher dans les journaux d’audit les modifications apportées par vos administrateurs de locataire aux paramètres Defender Experts.
L’audit (Standard) est activé par défaut pour tous les Microsoft Defender Experts pour les clients XDR lorsque des licences payantes sont attribuées au locataire. Si vous disposez d’une licence d’évaluation, collaborez avec votre gestionnaire de livraison de services pour activer l’audit si ce n’est pas encore le cas.
Notes
Vérifiez que vous disposez des autorisations appropriées pour rechercher des journaux d’audit.
- Connectez-vous au portail de conformité Microsoft Purview pour utiliser auditer la nouvelle Recherche.
- Indiquez une plage de dates et d’heures (UTC).
- Sélectionnez la charge de travail et le type d’enregistrement dans la liste indiquée dans le tableau suivant pour affiner davantage votre recherche.
- Sélectionnez Recherche pour répertorier les journaux d’audit liés aux actions effectuées par nos experts dans votre locataire.
Action effectuée par les experts Defender | Charge de travail | Type d’enregistrement |
---|---|---|
Se connecter au locataire du client | AzureActiveDirectory | AzureActiveDirectoryStsLogon |
Apporter des modifications aux incidents dans Microsoft Defender portail | Microsoft365Defender | MS365Dincident |
Apporter des modifications aux règles de suppression des alertes dans Microsoft Defender portail | Microsoft365Defender | MS365DSuppressionRule |
Apporter des modifications aux indicateurs dans Microsoft Defender pour point de terminaison | MicrosoftDefenderForEndpoint | MSDEIndicatorsSettings |
Effectuer des actions de correction d’appareil dans Microsoft Defender pour point de terminaison | MicrosoftDefenderForEndpoint | MSDEResponseActions |
Recherche les journaux d’audit pour les actions effectuées par vos administrateurs dans les paramètres Defender Experts
- Connectez-vous au portail de conformité Microsoft Purview pour utiliser auditer la nouvelle Recherche.
- Indiquez une plage de dates et d’heures (UTC).
- Sous Charge de travail, choisissez MicrosoftDefenderExperts.
- Sélectionnez Recherche pour répertorier les journaux d’audit liés aux actions effectuées par les administrateurs de votre locataire dans les paramètres Defender Experts.
En plus d’utiliser Audit New Recherche dans le portail de conformité Microsoft Purview, vous pouvez utiliser des applets de commande PowerShell pour rechercher des journaux d’audit. En savoir plus.
Considérations importantes pour Microsoft Defender Experts pour XDR
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.