Recherche le journal d’audit des événements dans Microsoft Defender XDR

Article
04/26/2024

S’applique à :

Le journal d’audit peut vous aider à examiner des activités spécifiques dans les services Microsoft 365. Dans le portail Microsoft Defender XDR, les activités Microsoft Defender XDR et Microsoft Defender pour point de terminaison sont auditées. Voici quelques-unes des activités auditées :

Modifications apportées aux paramètres de rétention des données
Modifications apportées aux fonctionnalités avancées
Création d’indicateurs de compromission
Isolation des appareils
Ajouter\modifier\supprimer des rôles de sécurité
Create\modifier des règles de détection personnalisées
Affecter un utilisateur à un incident

Pour obtenir la liste complète des activités Microsoft Defender XDR auditées, consultez activités Microsoft Defender XDR et activités Microsoft Defender pour point de terminaison.

Conditions requises

Pour accéder au journal d’audit, vous devez disposer du rôle Afficher uniquement les journaux d’audit ou journaux d’audit dans Exchange Online. Par défaut, ces rôles sont attribués aux groupes de rôles Gestion de la conformité et Gestion de l’organisation.

Remarque

Les administrateurs globaux dans votre client Office 365 et Microsoft 365 sont automatiquement des membres du groupe de rôle Gestion de l'organisation dans Exchange Online.

Activer l’audit dans Microsoft Defender XDR

Microsoft Defender XDR utilise la solution d’audit Microsoft Purview avant de pouvoir examiner les données d’audit dans le portail Microsoft Defender XDR :

Vous devez vérifier que l’audit est activé dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Activer ou désactiver l’audit.
Suivez les étapes ci-dessous pour activer le journal d’audit unifié dans le portail Microsoft Defender XDR :
1. Connectez-vous à Microsoft Defender XDR à l’aide d’un compte avec le rôle Administrateur de la sécurité ou Administrateur général attribué.
2. Dans le volet de navigation, sélectionnez Paramètres Points>de terminaisonFonctionnalités avancées>.
3. Faites défiler propre jusqu’à Journal d’audit unifié et basculez le paramètre sur Activé.
4. Sélectionnez Enregistrer les préférences.

Utilisation de la recherche d’audit dans Microsoft Defender XDR

Pour récupérer les journaux d’audit des activités Microsoft Defender XDR, accédez à la page Audit Microsoft Defender XDR ou accédez au portail de conformité Purview et sélectionnez Audit.
Dans la page Nouveau Recherche, filtrez les activités, les dates et les utilisateurs que vous souhaitez auditer.
Sélectionner Recherche
Exportez vos résultats vers Excel en vue d’une analyse plus approfondie.

Pour obtenir des instructions pas à pas, consultez Recherche le journal d’audit dans le portail de conformité.

La rétention des enregistrements du journal d’audit est basée sur les stratégies de rétention Microsoft Purview. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.

activités Microsoft Defender XDR

Pour obtenir la liste de tous les événements enregistrés pour les activités des utilisateurs et des administrateurs dans Microsoft Defender XDR dans le journal d’audit Microsoft 365, consultez :

activités Microsoft Defender pour point de terminaison

Pour obtenir la liste de tous les événements enregistrés pour les activités des utilisateurs et des administrateurs dans Microsoft Defender pour point de terminaison dans le journal d’audit Microsoft 365, consultez :

Utilisation d’un script PowerShell

Vous pouvez utiliser l’extrait de code PowerShell suivant pour interroger l’API de gestion Office 365 afin de récupérer des informations sur les événements Microsoft Defender XDR :

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>