Search il log di controllo per gli eventi in Microsoft Defender XDR

Articolo
04/26/2024

Si applica a:

Il log di controllo consente di analizzare attività specifiche nei servizi di Microsoft 365. Nel portale di Microsoft Defender XDR vengono controllate le attività Microsoft Defender XDR e Microsoft Defender per endpoint. Alcune delle attività controllate sono:

Modifiche alle impostazioni di conservazione dei dati
Modifiche alle funzionalità avanzate
Creazione di indicatori di compromissione
Isolamento dei dispositivi
Aggiungere\modificare\eliminare ruoli di sicurezza
Create\modifica regole di rilevamento personalizzate
Assegnare l'utente a un evento imprevisto

Per un elenco completo delle attività Microsoft Defender XDR controllate, vedere attività di Microsoft Defender XDR e attività Microsoft Defender per endpoint.

Requisiti

Per accedere al log di controllo, è necessario avere il ruolo Log di controllo di sola visualizzazione o Log di controllo in Exchange Online. Per impostazione predefinita, tali ruoli vengono assegnati ai gruppi di ruoli Gestione conformità e Gestione organizzazione.

Nota

Gli amministratori globali di Office 365 e Microsoft 365 vengono aggiunti automaticamente come membri del gruppo di ruoli Gestione organizzazione in Exchange Online.

Attivare il controllo in Microsoft Defender XDR

Microsoft Defender XDR usa la soluzione di controllo Microsoft Purview prima di esaminare i dati di controllo nel portale di Microsoft Defender XDR:

È consigliabile verificare che il controllo sia attivato nel Portale di conformità di Microsoft Purview. Per altre informazioni, vedere Attivare o disattivare il controllo.
Seguire la procedura seguente per abilitare il log di controllo unificato nel portale di Microsoft Defender XDR:
1. Accedere a Microsoft Defender XDR usando un account con l'amministratore della sicurezza o amministratore globale ruolo assegnato.
2. Nel riquadro di spostamento selezionare Impostazioni>Funzionalità avanzateendpoint>.
3. Scorrere own fino a Unified audit log (Log di controllo unificato ) e attivare o disattivare l'impostazione su Sì.
4. Selezionare Salva preferenze.

Uso della ricerca di controllo in Microsoft Defender XDR

Per recuperare i log di controllo per le attività di Microsoft Defender XDR, passare alla pagina Microsoft Defender XDR Audit oppure passare al portale di conformità di Purview e selezionare Controlla.
Nella pagina Nuovo Search filtrare le attività, le date e gli utenti da controllare.
Selezionare Search
Esportare i risultati in Excel per un'ulteriore analisi.

Per istruzioni dettagliate, vedere Search il log di controllo nel portale di conformità.

La conservazione dei record del log di controllo si basa sui criteri di conservazione di Microsoft Purview. Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo.

attività Microsoft Defender XDR

Per un elenco di tutti gli eventi registrati per le attività utente e amministratore in Microsoft Defender XDR nel log di controllo di Microsoft 365, vedere:

attività Microsoft Defender per endpoint

Per un elenco di tutti gli eventi registrati per le attività utente e amministratore in Microsoft Defender per endpoint nel log di controllo di Microsoft 365, vedere:

Uso di uno script di PowerShell

È possibile usare il frammento di codice di PowerShell seguente per eseguire una query sull'API di gestione Office 365 per recuperare informazioni sugli eventi di Microsoft Defender XDR:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>