Share via


監査

適用対象:

テナント管理者は、Microsoft Purview を使用して、エキスパートがテナントにサインインMicrosoft Defender時間と、調査を実行するために行ったアクションについて監査ログを検索できます。 また、テナント管理者が Defender Experts 設定に対して行った変更を監査ログで検索することもできます。

有料ライセンスがテナントに割り当てられている場合、XDR のお客様のすべてのMicrosoft Defenderエキスパートに対して監査 (Standard) が既定でオンになります。 試用版ライセンスをお持ちの場合は、サービス配信マネージャーと協力して、監査がまだ有効になっていない場合はオンにします。

注:

監査ログを検索するための適切な アクセス許可 があることを確認します。

Defender Experts によって実行されたアクションの監査ログをSearchする

  1. Microsoft Purview コンプライアンス ポータルにサインインして、新しいSearchの監査を使用します。
  2. 日付と時刻の範囲 (UTC) を指定します。
  3. 次の表に示す一覧から [ ワークロード ] と [ レコードの種類 ] を選択して、検索をさらに絞り込みます。
  4. [Search] を選択して、テナントのエキスパートが実行したアクションに関連する監査ログを一覧表示します。

Defender の新しい検索ページMicrosoft Purview コンプライアンス ポータル部分的なスクリーンショット。

Defender Experts によって実行されるアクション Workload レコードの種類
顧客テナントにサインインする AzureActiveDirectory AzureActiveDirectoryStsLogon
ポータルでインシデントを変更Microsoft Defender Microsoft365Defender MS365Dincident
ポータルでアラート抑制ルールを変更Microsoft Defender Microsoft365Defender MS365DSuppressionRule
Microsoft Defender for Endpointのインジケーターに変更を加える MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
Microsoft Defender for Endpointでデバイスの修復アクションを実行する MicrosoftDefenderForEndpoint MSDEResponseActions

Defender Experts に関連するサンプル監査ログの部分的なスクリーンショット。

Defender Experts 設定で管理者が実行したアクションの監査ログをSearchする

  1. Microsoft Purview コンプライアンス ポータルにサインインして、新しいSearchの監査を使用します。
  2. 日付と時刻の範囲 (UTC) を指定します。
  3. [ ワークロード] で、[ MicrosoftDefenderExperts] を選択します。
  4. [Search] を選択して、テナント管理者が Defender Experts 設定に対して実行したアクションに関連する監査ログを一覧表示します。

MicrosoftDefenderExperts Microsoft Purview コンプライアンス ポータル選択された [ワークロード] フィールドを示す [Defender New search] ページの部分的なスクリーンショット。

PowerShell スクリプトを使用して監査ログをSearchする

Microsoft Purview コンプライアンス ポータルで Audit New Searchを使用するだけでなく、PowerShell コマンドレットを使用して監査ログを検索することもできます。 詳細情報 を参照してください。

関連項目

XDR のエキスパートMicrosoft Defenderに関する重要な考慮事項

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします