Megosztás a következőn keresztül:


Események keresése az auditnaplóban a Microsoft Defender XDR-ben

Érintett szolgáltatás:

Az auditnapló segítségével megvizsgálhat bizonyos tevékenységeket a Microsoft 365-szolgáltatásokban. A Microsoft Defender XDR portálon a Microsoft Defender XDR és a Végponthoz készült Microsoft Defender tevékenységeket naplózták. A naplózott tevékenységek némelyike a következő:

  • Az adatmegőrzési beállítások módosítása
  • A speciális funkciók változásai
  • Kompromisszumos mutatók létrehozása
  • Eszközök elkülönítése
  • Biztonsági szerepkörök hozzáadása\szerkesztése\törlése
  • Egyéni észlelési szabályok létrehozása\szerkesztése
  • Felhasználó hozzárendelése incidensekhez

A naplózott Microsoft Defender XDR-tevékenységek teljes listáját a Microsoft Defender XDR-tevékenységek és a Végponthoz készült Microsoft Defender-tevékenységek című cikkben találja.

Követelmények

Az auditnapló eléréséhez csak megtekintési auditnaplók vagy auditnaplók szerepkörrel kell rendelkeznie az Exchange Online-ban. Alapértelmezés szerint ezek a szerepkörök a Megfelelőségkezelés és a Szervezetkezelés szerepkörcsoportokhoz vannak hozzárendelve.

Megjegyzés:

Az Office 365 és a Microsoft 365 globális rendszergazdái automatikusan hozzáadódnak az Exchange Online Szervezetkezelés szerepkörcsoportjának tagjaiként.

Naplózás bekapcsolása a Microsoft Defender XDR-ben

A Microsoft Defender XDR a Microsoft Purview naplózási megoldást használja, mielőtt megtekintené a naplózási adatokat a Microsoft Defender XDR portálon:

  • Győződjön meg arról, hogy a naplózás be van kapcsolva a Microsoft Purview megfelelőségi portálon. További információ: Naplózás be- és kikapcsolása.

  • Kövesse az alábbi lépéseket az egyesített auditnapló engedélyezéséhez a Microsoft Defender XDR portálon:

    1. Jelentkezzen be a Microsoft Defender XDR-be egy biztonsági rendszergazdai vagy globális rendszergazdai szerepkörrel rendelkező fiókkal.
    2. A navigációs panelen válassza a Beállítások>Végpontok>Speciális szolgáltatások lehetőséget.
    3. Görgessen sajátként az Egyesített auditnaplóhoz , és állítsa be a beállítást Be állásba.

    Képernyőkép a Microsoft Defender XDR speciális beállításaiban található egyesített auditnapló-kapcsolóról 4. Válassza a Beállítások mentése lehetőséget.

Fontos

A globális rendszergazda kiemelt jogosultságokkal rendelkező szerepkör, amelynek olyan forgatókönyvekre kell korlátozódnia, amelyekben nem használhat meglévő szerepkört. A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában.

Az auditkeresés használata a Microsoft Defender XDR-ben

  1. A Microsoft Defender XDR-tevékenységek auditnaplóinak lekéréséhez lépjen a Microsoft Defender XDR naplózási lapjára , vagy lépjen a Purview megfelelőségi portáljára , és válassza a Naplózás lehetőséget.

    Képernyőkép a Microsoft Defender XDR egyesített auditnapló-oldaláról

  2. Az Új keresés lapon szűrje a naplózni kívánt tevékenységeket, dátumokat és felhasználókat.

  3. Keresés kiválasztása

    Képernyőkép az egyesített naplókeresési lehetőségekről a Microsoft Defender XDR-ben

  4. További elemzés céljából exportálja az eredményeket az Excelbe.

Részletes útmutatásért lásd: Keresés az auditnaplóban a megfelelőségi portálon.

Az auditnaplórekordok megőrzése a Microsoft Purview adatmegőrzési szabályzatán alapul. További információ: Auditnapló-megőrzési szabályzatok kezelése.

Microsoft Defender XDR-tevékenységek

A Microsoft Defender XDR felhasználói és rendszergazdai tevékenységeihez naplózott összes esemény listáját a Microsoft 365 auditnaplójában találja:

Végponthoz készült Microsoft Defender-tevékenységek

A Végponthoz készült Microsoft Defenderben a felhasználói és rendszergazdai tevékenységekhez naplózott összes esemény listáját a Microsoft 365 auditnaplójában találja:

PowerShell-szkript használata

Az alábbi PowerShell-kódrészlettel lekérdezheti az Office 365 Felügyeleti API-t a Microsoft Defender XDR-események adatainak lekéréséhez:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Megjegyzés:

Tekintse meg az API oszlopot a rekordtípus értékeihez tartozó Naplózási tevékenységek területen.

További források