חיפוש אירועים ביומן הביקורת ב- Microsoft Defender XDR
חל על:
יומן הביקורת יכול לעזור לך לחקור פעילויות ספציפיות בכל שירותי Microsoft 365. בפורטל XDR של Microsoft Defender, מקיימות ביקורת על פעילויות XDR של Microsoft Defender ו- Microsoft Defender for Endpoint. חלק מהפעילויות המ ביקורת הן:
- שינויים בהגדרות שמירת נתונים
- שינויים בתכונות מתקדמות
- יצירת מחווני פשרה
- בידוד מכשירים
- הוספה\עריכה\מחיקה של תפקידי אבטחה
- יצירה\עריכה של כללי זיהוי מותאמים אישית
- הקצאת משתמש לתקריות
לקבלת רשימה מלאה של פעילויות XDR של Microsoft Defender המקיימות ביקורת, ראה פעילויות XDR של Microsoft Defender ופעילויות של Microsoft Defender עבור נקודות קצה.
דרישות
כדי לגשת ליומן הביקורת, דרוש לך התפקיד 'הצגה בלבד של יומני ביקורת ' או ' יומני ביקורת' ב - Exchange Online. כברירת מחדל, תפקידים אלה מוקצים לקבוצות התפקידים 'ניהול תאימות' ו'ניהול ארגון'.
הערה
מנהלי מערכת כלליים ב- Office 365 וב- Microsoft 365 מתווספים באופן אוטומטי בתור חברים בקבוצת התפקידים 'ניהול ארגון' ב- Exchange Online.
הפעלת ביקורת ב- XDR של Microsoft Defender
Microsoft Defender XDR משתמש בפתרון הביקורת של Microsoft Purview, לפני שתוכל לעיין נתוני הביקורת בפורטל XDR של Microsoft Defender:
עליך לוודא שביקורת מופעלת בפורטל התאימות של Microsoft Purview. לקבלת מידע נוסף, ראה הפעלה או ביטול של ביקורת.
בצע את השלבים הבאים כדי להפוך את יומן הביקורת המאוחד לזמין בפורטל XDR של Microsoft Defender:
- היכנס ל- Microsoft Defender XDR באמצעות חשבון שהוקצה לו תפקיד מנהל האבטחה או מנהל המערכת הכללי.
- בחלונית הניווט, בחר הגדרות>נקודות קצה תכונות>מתקדמות.
- גלול אל יומן הביקורת המאוחד והחלף את ההגדרה למצב מופעל.
חשוב
מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישים כאשר אין באפשרותך להשתמש בתפקיד קיים. Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. שימוש בחשבונות עם הרשאות נמוכות יותר עוזר לשפר את האבטחה עבור הארגון שלך.
שימוש בחיפוש הביקורת ב- XDR של Microsoft Defender
כדי לאחזר יומני ביקורת עבור פעילויות XDR של Microsoft Defender, נווט אל דף ביקורת XDR של Microsoft Defender או עבור אל פורטל התאימות של Purview ובחר ביקורת.
בדף חיפוש חדש , סנן את הפעילויות, התאריכים והמשתמשים שברצונך לבצע ביקורת.
בחר חיפוש
יצא את התוצאות ל- Excel לצורך ניתוח נוסף.
לקבלת הוראות מפורטות, ראה חיפוש ביומן הביקורת בפורטל התאימות.
שמירת רשומות ביומן הביקורת מבוססת על מדיניות השמירה של Microsoft Purview. לקבלת מידע נוסף, ראה ניהול מדיניות שמירה של יומני ביקורת.
פעילויות XDR של Microsoft Defender
לקבלת רשימה של כל האירועים שנרשם עבור פעילויות משתמשים ומנהלי מערכת ב- Microsoft Defender XDR ביומן הביקורת של Microsoft 365, ראה:
- פעילויות זיהוי מותאמות אישית ב- Microsoft Defender XDR ביומן הביקורת
- פעילויות מקריות ב- Microsoft Defender XDR ביומן הביקורת
- פעילויות כלל דיכוי ב- XDR של Microsoft Defender ביומן הביקורת
פעילויות של Microsoft Defender for Endpoint
לקבלת רשימה של כל האירועים שנרשם עבור פעילויות משתמשים ומנהלי מערכת ב- Microsoft Defender for Endpoint ביומן הביקורת של Microsoft 365, ראה:
- פעילויות הגדרות כלליות ב- Defender for Endpoint ביומן הביקורת
- פעילויות הגדרות מחוון ב- Defender for Endpoint ביומן הביקורת
- פעילויות של פעולות תגובה ב- Defender for Endpoint ביומן הביקורת
- פעילויות הגדרות תפקידים ב- Defender for Endpoint ביומן הביקורת
שימוש בקובץ Script של PowerShell
באפשרותך להשתמש בסעיף הקוד הבא של PowerShell כדי לבצע שאילתה ב- API של Office 365 Management כדי לאחזר מידע אודות אירועי XDR של Microsoft Defender:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
הערה
עיין בעמודה API בפעילויות ביקורת הכלולות עבור ערכי סוג הרשומה.