Események keresése az auditnaplóban a Microsoft Defender XDR-ben
Érintett szolgáltatás:
Az auditnapló segítségével megvizsgálhat bizonyos tevékenységeket a Microsoft 365-szolgáltatásokban. A Microsoft Defender XDR portálon a Microsoft Defender XDR és a Végponthoz készült Microsoft Defender tevékenységeket naplózták. A naplózott tevékenységek némelyike a következő:
- Az adatmegőrzési beállítások módosítása
- A speciális funkciók változásai
- Kompromisszumos mutatók létrehozása
- Eszközök elkülönítése
- Biztonsági szerepkörök hozzáadása\szerkesztése\törlése
- Egyéni észlelési szabályok létrehozása\szerkesztése
- Felhasználó hozzárendelése incidensekhez
A naplózott Microsoft Defender XDR-tevékenységek teljes listáját a Microsoft Defender XDR-tevékenységek és a Végponthoz készült Microsoft Defender-tevékenységek című cikkben találja.
Követelmények
Az auditnapló eléréséhez csak megtekintési auditnaplók vagy auditnaplók szerepkörrel kell rendelkeznie az Exchange Online-ban. Alapértelmezés szerint ezek a szerepkörök a Megfelelőségkezelés és a Szervezetkezelés szerepkörcsoportokhoz vannak hozzárendelve.
Megjegyzés:
Az Office 365 és a Microsoft 365 globális rendszergazdái automatikusan hozzáadódnak az Exchange Online Szervezetkezelés szerepkörcsoportjának tagjaiként.
Naplózás bekapcsolása a Microsoft Defender XDR-ben
A Microsoft Defender XDR a Microsoft Purview naplózási megoldást használja, mielőtt megtekintené a naplózási adatokat a Microsoft Defender XDR portálon:
Győződjön meg arról, hogy a naplózás be van kapcsolva a Microsoft Purview megfelelőségi portálon. További információ: Naplózás be- és kikapcsolása.
Kövesse az alábbi lépéseket az egyesített auditnapló engedélyezéséhez a Microsoft Defender XDR portálon:
- Jelentkezzen be a Microsoft Defender XDR-be egy biztonsági rendszergazdai vagy globális rendszergazdai szerepkörrel rendelkező fiókkal.
- A navigációs panelen válassza a Beállítások>Végpontok>Speciális szolgáltatások lehetőséget.
- Görgessen sajátként az Egyesített auditnaplóhoz , és állítsa be a beállítást Be állásba.
Fontos
A globális rendszergazda kiemelt jogosultságokkal rendelkező szerepkör, amelynek olyan forgatókönyvekre kell korlátozódnia, amelyekben nem használhat meglévő szerepkört. A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában.
Az auditkeresés használata a Microsoft Defender XDR-ben
A Microsoft Defender XDR-tevékenységek auditnaplóinak lekéréséhez lépjen a Microsoft Defender XDR naplózási lapjára , vagy lépjen a Purview megfelelőségi portáljára , és válassza a Naplózás lehetőséget.
Az Új keresés lapon szűrje a naplózni kívánt tevékenységeket, dátumokat és felhasználókat.
Keresés kiválasztása
További elemzés céljából exportálja az eredményeket az Excelbe.
Részletes útmutatásért lásd: Keresés az auditnaplóban a megfelelőségi portálon.
Az auditnaplórekordok megőrzése a Microsoft Purview adatmegőrzési szabályzatán alapul. További információ: Auditnapló-megőrzési szabályzatok kezelése.
Microsoft Defender XDR-tevékenységek
A Microsoft Defender XDR felhasználói és rendszergazdai tevékenységeihez naplózott összes esemény listáját a Microsoft 365 auditnaplójában találja:
- Egyéni észlelési tevékenységek a Microsoft Defender XDR-ben az auditnaplóban
- Incidenstevékenységek a Microsoft Defender XDR-ben az auditnaplóban
- Letiltási szabály tevékenységei a Microsoft Defender XDR-ben az auditnaplóban
Végponthoz készült Microsoft Defender-tevékenységek
A Végponthoz készült Microsoft Defenderben a felhasználói és rendszergazdai tevékenységekhez naplózott összes esemény listáját a Microsoft 365 auditnaplójában találja:
- Általános beállítási tevékenységek a Végponthoz készült Defenderben az auditnaplóban
- Mutatóbeállítások tevékenységei a Végponthoz készült Defenderben az auditnaplóban
- Válaszműveleti tevékenységek a Végponthoz készült Defenderben az auditnaplóban
- Szerepkör-beállítási tevékenységek a Végponthoz készült Defenderben az auditnaplóban
PowerShell-szkript használata
Az alábbi PowerShell-kódrészlettel lekérdezheti az Office 365 Felügyeleti API-t a Microsoft Defender XDR-események adatainak lekéréséhez:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
Megjegyzés:
Tekintse meg az API oszlopot a rekordtípus értékeihez tartozó Naplózási tevékenységek területen.