Microsoft Defender XDRのイベントの監査ログをSearchする

適用対象:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

監査ログは、Microsoft 365 サービス全体の特定のアクティビティを調査するのに役立ちます。 Microsoft Defender XDR ポータルでは、Microsoft Defender XDRアクティビティとMicrosoft Defender for Endpointアクティビティが監査されます。 監査されるアクティビティの一部は次のとおりです。

• データ保持設定の変更
• 高度な機能の変更
• 侵害のインジケーターの作成
• デバイスの分離
• セキュリティ ロールの追加/編集/削除
• カスタム検出ルールのCreate\編集
• インシデントにユーザーを割り当てる

監査されるMicrosoft Defender XDRアクティビティの完全な一覧については、「Microsoft Defender XDR アクティビティとMicrosoft Defender for Endpoint アクティビティ」を参照してください。

要件

監査ログにアクセスするには、Exchange Onlineの [監査ログの表示のみ] または [監査ログ] ロールが必要です。 既定では、これらのロールはコンプライアンス管理ロール グループと組織管理ロール グループに割り当てられます。

注:

Office 365 および Microsoft 365 のグローバル管理者は自動的に、組織管理役割グループのメンバーとして Exchange Online に追加されます。

Microsoft Defender XDRで監査を有効にする

Microsoft Defender XDRは、Microsoft Defender XDR ポータルで監査データを確認する前に、Microsoft Purview 監査ソリューションを使用します。

• Microsoft Purview コンプライアンス ポータルで監査が有効になっていることを確認する必要があります。 詳細については、「監査のオンとオフを切り替える」を参照してください。

• Microsoft Defender XDR ポータルで統合監査ログを有効にするには、次の手順に従います。

  1. セキュリティ管理者またはグローバル管理者ロールが割り当てられているアカウントを使用してMicrosoft Defender XDRにログインします。
  2. ナビゲーション ウィンドウで、[設定] [エンドポイント] [高度な機能]> の順に>選択します。
  3. [独自] を [統合監査ログ] までスクロールし、設定を [オン] に切り替えます。

  。[設定の保存] を選択します。

Microsoft Defender XDRでの監査検索の使用

1. Microsoft Defender XDRアクティビティの監査ログを取得するには、[Microsoft Defender XDR監査] ページに移動するか、Purview コンプライアンス ポータルに移動して [監査] を選択します。

   

2. [新しいSearch] ページで、監査するアクティビティ、日付、ユーザーをフィルター処理します。

3. [Search] を選択します

   

4. さらに詳しく分析するために、結果を Excel にエクスポートします。

詳細な手順については、「コンプライアンス ポータルで監査ログをSearchする」を参照してください。

監査ログ レコードの保持は、Microsoft Purview の保持ポリシーに基づいています。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。

Microsoft Defender XDRアクティビティ

Microsoft 365 監査ログのMicrosoft Defender XDRのユーザーアクティビティと管理者アクティビティに対してログに記録されるすべてのイベントの一覧については、次を参照してください。

• 監査ログのMicrosoft Defender XDRでのカスタム検出アクティビティ
• 監査ログのMicrosoft Defender XDRでのインシデント アクティビティ
• 監査ログのMicrosoft Defender XDRでの抑制ルール アクティビティ

Microsoft Defender for Endpointアクティビティ

Microsoft 365 監査ログのMicrosoft Defender for Endpointのユーザーアクティビティと管理者アクティビティに対してログに記録されるすべてのイベントの一覧については、次を参照してください。

• 監査ログの Defender for Endpoint の全般設定アクティビティ
• 監査ログの Defender for Endpoint のインジケーター設定アクティビティ
• 監査ログの Defender for Endpoint での応答アクション アクティビティ
• 監査ログの Defender for Endpoint のロール設定アクティビティ

PowerShell スクリプトの使用

次の PowerShell コード スニペットを使用して、Office 365 Management API に対してクエリを実行して、Microsoft Defender XDR イベントに関する情報を取得できます。

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

注:

レコードの種類の値については、監査アクティビティに含まれる API 列を参照してください。

その他のリソース

• コンプライアンス センターで監査ログを検索する
• PowerShell スクリプトを使用して監査ログを検索する
• 監査ログの詳細なプロパティ
• 監査ログ レコードをエクスポート、構成、表示する
• Office 365 管理アクティビティ API リファレンス