Controllo
Si applica a:
In qualità di amministratore del tenant, è possibile usare Microsoft Purview per cercare nei log di controllo i tempi Microsoft Defender esperti che hanno eseguito l'accesso al tenant e le azioni eseguite per eseguire le indagini. È anche possibile cercare nei log di controllo le modifiche apportate dagli amministratori del tenant alle impostazioni di Defender Experts.
Audit (Standard) è attivato per impostazione predefinita per tutti gli esperti Microsoft Defender per i clienti XDR quando le licenze a pagamento vengono assegnate al tenant. Se si dispone di una licenza di valutazione, collaborare con il responsabile recapito del servizio per attivare Audit se non è ancora disponibile.
Nota
Assicurarsi di avere le autorizzazioni appropriate per cercare i log di controllo.
- Accedere alla Portale di conformità di Microsoft Purview per usare Controlla nuovo Search.
- Specificare un intervallo di data e ora (UTC).
- Selezionare il tipo di carico di lavoro e record nell'elenco illustrato nella tabella seguente per limitare ulteriormente la ricerca.
- Selezionare Search per elencare i log di controllo correlati alle azioni eseguite dagli esperti nel tenant.
Azione eseguita da Defender Experts | Carico di lavoro | Tipo di record |
---|---|---|
Accedere al tenant del cliente | AzureActiveDirectory | AzureActiveDirectoryStsLogon |
Apportare modifiche agli eventi imprevisti nel portale di Microsoft Defender | Microsoft365Defender | MS365Dincident |
Apportare modifiche alle regole di eliminazione degli avvisi nel portale di Microsoft Defender | Microsoft365Defender | MS365DSuppressionRule |
Apportare modifiche agli indicatori in Microsoft Defender per endpoint | MicrosoftDefenderForEndpoint | MSDEIndicatorsSettings |
Eseguire azioni di correzione dei dispositivi in Microsoft Defender per endpoint | MicrosoftDefenderForEndpoint | MSDEResponseActions |
Search i log di controllo per le azioni eseguite dagli amministratori nelle impostazioni di Defender Experts
- Accedere alla Portale di conformità di Microsoft Purview per usare Controlla nuovo Search.
- Specificare un intervallo di data e ora (UTC).
- In Carico di lavoro scegliere MicrosoftDefenderExperts.
- Selezionare Search per elencare i log di controllo correlati alle azioni eseguite dagli amministratori del tenant nelle impostazioni di Defender Experts.
Oltre a usare Audit New Search nel Portale di conformità di Microsoft Purview, è possibile usare i cmdlet di PowerShell per cercare i log di controllo. Altre informazioni.
Considerazioni importanti per Microsoft Defender Esperti per XDR
Suggerimento
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.