Søk i overvåkingsloggen etter hendelser i Microsoft Defender XDR
Gjelder for:
Overvåkingsloggen kan hjelpe deg med å undersøke bestemte aktiviteter på tvers av Microsoft 365-tjenester. Microsoft Defender XDR og Microsoft Defender for Endpoint-aktiviteter overvåkes i Microsoft Defender XDR-portalen. Noen av aktivitetene som overvåkes er:
- Endringer i innstillinger for dataoppbevaring
- Endringer i avanserte funksjoner
- Opprettelse av indikatorer for kompromiss
- Isolasjon av enheter
- Legg til\rediger\sletting av sikkerhetsroller
- Opprett\rediger egendefinerte gjenkjenningsregler
- Tilordne en bruker til en hendelse
Hvis du vil ha en fullstendig liste over Microsoft Defender XDR-aktiviteter som overvåkes, kan du se Microsoft Defender XDR-aktiviteter og Microsoft Defender for endepunktaktiviteter.
Krav
Hvis du vil ha tilgang til overvåkingsloggen, må du ha rollen Skrivebeskyttet overvåkingslogg ellerovervåkingslogger i Exchange Online. Som standard tilordnes disse rollene til rollegruppene Samsvarsadministrasjon og Organisasjonsadministrasjon.
Obs!
Globale administratorer i Office 365 og Microsoft 365 legges automatisk til som medlemmer av rollegruppen organisasjonsadministrasjon i Exchange Online.
Slå på overvåking i Microsoft Defender XDR
Microsoft Defender XDR bruker Microsoft Purview-overvåkingsløsningen, før du kan se på overvåkingsdataene i Microsoft Defender XDR-portalen:
Du bør bekrefte at overvåking er aktivert i samsvarsportalen for Microsoft Purview. Hvis du vil ha mer informasjon, kan du se Aktivere eller deaktivere overvåking.
Følg fremgangsmåten nedenfor for å aktivere den enhetlige overvåkingsloggen i Microsoft Defender XDR-portalen:
- Logg på Microsoft Defender XDR ved hjelp av en konto med sikkerhetsadministratoren eller global administratorrolle tilordnet.
- VelgAvanserte funksjonerforInnstillinger-endepunkter>> i navigasjonsruten.
- Rull egen til Enhetlig overvåkingslogg , og sett innstillingen til På.
Viktig
Global administrator er en svært privilegert rolle som bør begrenses til scenarioer når du ikke kan bruke en eksisterende rolle. Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen.
Bruke revisjonssøket i Microsoft Defender XDR
Hvis du vil hente overvåkingslogger for Microsoft Defender XDR-aktiviteter, går du til siden Microsoft Defender XDR-overvåking eller går til samsvarsportalen for Purview og velger Revisjon.
Filtrer aktivitetene, datoene og brukerne du vil overvåke, på Nytt søk-siden .
Velg Søk
Eksporter resultatene til Excel for videre analyse.
Hvis du vil ha trinnvise instruksjoner, kan du se Søke i overvåkingsloggen i samsvarsportalen.
Oppbevaring av overvåkingsloggoppføring er basert på oppbevaringspolicyer for Microsoft Purview. Hvis du vil ha mer informasjon, kan du se Behandle oppbevaringspolicyer for overvåkingslogg.
Microsoft Defender XDR-aktiviteter
Hvis du vil ha en liste over alle hendelser som er logget for bruker- og administratoraktiviteter i Microsoft Defender XDR i overvåkingsloggen for Microsoft 365, kan du se:
- Egendefinerte gjenkjenningsaktiviteter i Microsoft Defender XDR i overvåkingsloggen
- Hendelsesaktiviteter i Microsoft Defender XDR i overvåkingsloggen
- Undertrykkingsregelaktiviteter i Microsoft Defender XDR i overvåkingsloggen
Aktiviteter for Microsoft Defender for endepunkt
Hvis du vil ha en liste over alle hendelser som er logget for bruker- og administratoraktiviteter i Microsoft Defender for endepunkt i overvåkingsloggen for Microsoft 365, kan du se:
- Generelle innstillingsaktiviteter i Defender for endepunkt i overvåkingsloggen
- Indikatorinnstillinger-aktiviteter i Defender for endepunkt i overvåkingsloggen
- Responshandlingsaktiviteter i Defender for endepunkt i overvåkingsloggen
- Rolleinnstillinger-aktiviteter i Defender for endepunkt i overvåkingsloggen
Bruke et PowerShell-skript
Du kan bruke følgende PowerShell-kodesnutt til å spørre API-en for Administrasjon av Office 365 for å hente informasjon om Microsoft Defender XDR-hendelser:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
Obs!
Se API-kolonnen i Overvåkingsaktiviteter som er inkludert for oppføringstypeverdiene.