Rechercher des événements dans le journal d’audit dans Microsoft Defender XDR

S’applique à :

• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR

Le journal d’audit peut vous aider à examiner des activités spécifiques dans les services Microsoft 365. Dans le portail Microsoft Defender XDR, les activités Microsoft Defender XDR et Microsoft Defender pour point de terminaison sont auditées. Voici quelques-unes des activités auditées :

• Modifications apportées aux paramètres de rétention des données
• Modifications apportées aux fonctionnalités avancées
• Création d’indicateurs de compromission
• Isolation des appareils
• Ajouter\modifier\supprimer des rôles de sécurité
• Créer/modifier des règles de détection personnalisées
• Affecter un utilisateur à un incident

Pour obtenir la liste complète des activités Microsoft Defender XDR auditées, consultez Activités Microsoft Defender XDR et Activités Microsoft Defender pour point de terminaison.

Configuration requise

Pour accéder au journal d’audit, vous devez disposer du rôle Afficher uniquement journaux d’audit ou Journaux d’audit dans Exchange Online. Par défaut, ces rôles sont attribués aux groupes de rôles Gestion de la conformité et Gestion de l’organisation.

Remarque

Les administrateurs globaux dans votre client Office 365 et Microsoft 365 sont automatiquement des membres du groupe de rôle Gestion de l'organisation dans Exchange Online.

Activer l’audit dans Microsoft Defender XDR

Microsoft Defender XDR utilise la solution d’audit Microsoft Purview avant de pouvoir examiner les données d’audit dans le portail Microsoft Defender XDR :

• Vous devez vérifier que l’audit est activé dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Activer ou désactiver l’audit.

• Suivez les étapes ci-dessous pour activer le journal d’audit unifié dans le portail Microsoft Defender XDR :

  1. Connectez-vous à Microsoft Defender XDR à l’aide d’un compte avec le rôle Administrateur de la sécurité ou Administrateur général attribué.
  2. Dans le volet de navigation, sélectionnez Paramètres Points>de terminaisonFonctionnalités avancées>.
  3. Faites défiler propre jusqu’à Journal d’audit unifié et basculez le paramètre sur Activé.

  4. Sélectionnez Enregistrer les préférences.

Importante

Administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios où vous ne pouvez pas utiliser un rôle existant. Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de votre organisation.

Utilisation de la recherche d’audit dans Microsoft Defender XDR

1. Pour récupérer les journaux d’audit des activités Microsoft Defender XDR, accédez à la page Audit de Microsoft Defender XDR ou accédez au portail de conformité Purview et sélectionnez Audit.

   

2. Dans la page Nouvelle recherche , filtrez les activités, les dates et les utilisateurs que vous souhaitez auditer.

3. Sélectionnez Rechercher

   

4. Exportez vos résultats vers Excel en vue d’une analyse plus approfondie.

Pour obtenir des instructions pas à pas, consultez Rechercher dans le journal d’audit dans le portail de conformité.

La rétention des enregistrements du journal d’audit est basée sur les stratégies de rétention Microsoft Purview. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.

Activités XDR Microsoft Defender

Pour obtenir la liste de tous les événements enregistrés pour les activités des utilisateurs et des administrateurs dans Microsoft Defender XDR dans le journal d’audit Microsoft 365, consultez :

• Activités de détection personnalisées dans Microsoft Defender XDR dans le journal d’audit
• Activités d’incident dans Microsoft Defender XDR dans le journal d’audit
• Activités de règle de suppression dans Microsoft Defender XDR dans le journal d’audit

Activités Microsoft Defender pour point de terminaison

Pour obtenir la liste de tous les événements enregistrés pour les activités des utilisateurs et des administrateurs dans Microsoft Defender pour point de terminaison dans le journal d’audit Microsoft 365, consultez :

• Activités des paramètres généraux dans Defender pour point de terminaison dans le journal d’audit
• Activités des paramètres d’indicateur dans Defender pour point de terminaison dans le journal d’audit
• Activités d’action de réponse dans Defender pour point de terminaison dans le journal d’audit
• Activités des paramètres de rôles dans Defender pour point de terminaison dans le journal d’audit

Utilisation d’un script PowerShell

Vous pouvez utiliser l’extrait de code PowerShell suivant pour interroger l’API de gestion Office 365 afin de récupérer des informations sur les événements Microsoft Defender XDR :

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Remarque

Consultez la colonne API dans Activités d’audit incluses pour connaître les valeurs de type d’enregistrement.

Ressources supplémentaires

• Recherchez le journal d’audit dans le centre de conformité
• Utiliser un script PowerShell pour effectuer une recherche dans le journal d’audit
• Propriétés détaillées dans le journal d’audit
• Exporter, configurer et afficher des enregistrements du journal d’audit
• Référence de l’API Activité de gestion Office 365