Del via


Søk i overvåkingsloggen etter hendelser i Microsoft Defender XDR

Gjelder for:

Overvåkingsloggen kan hjelpe deg med å undersøke bestemte aktiviteter på tvers av Microsoft 365-tjenester. Microsoft Defender XDR og Microsoft Defender for Endpoint-aktiviteter overvåkes i Microsoft Defender XDR-portalen. Noen av aktivitetene som overvåkes er:

  • Endringer i innstillinger for dataoppbevaring
  • Endringer i avanserte funksjoner
  • Opprettelse av indikatorer for kompromiss
  • Isolasjon av enheter
  • Legg til\rediger\sletting av sikkerhetsroller
  • Opprett\rediger egendefinerte gjenkjenningsregler
  • Tilordne en bruker til en hendelse

Hvis du vil ha en fullstendig liste over Microsoft Defender XDR-aktiviteter som overvåkes, kan du se Microsoft Defender XDR-aktiviteter og Microsoft Defender for endepunktaktiviteter.

Krav

Hvis du vil ha tilgang til overvåkingsloggen, må du ha rollen Skrivebeskyttet overvåkingslogg ellerovervåkingslogger i Exchange Online. Som standard tilordnes disse rollene til rollegruppene Samsvarsadministrasjon og Organisasjonsadministrasjon.

Obs!

Globale administratorer i Office 365 og Microsoft 365 legges automatisk til som medlemmer av rollegruppen organisasjonsadministrasjon i Exchange Online.

Slå på overvåking i Microsoft Defender XDR

Microsoft Defender XDR bruker Microsoft Purview-overvåkingsløsningen, før du kan se på overvåkingsdataene i Microsoft Defender XDR-portalen:

  • Du bør bekrefte at overvåking er aktivert i samsvarsportalen for Microsoft Purview. Hvis du vil ha mer informasjon, kan du se Aktivere eller deaktivere overvåking.

  • Følg fremgangsmåten nedenfor for å aktivere den enhetlige overvåkingsloggen i Microsoft Defender XDR-portalen:

    1. Logg på Microsoft Defender XDR ved hjelp av en konto med sikkerhetsadministratoren eller global administratorrolle tilordnet.
    2. VelgAvanserte funksjonerforInnstillinger-endepunkter>> i navigasjonsruten.
    3. Rull egen til Enhetlig overvåkingslogg , og sett innstillingen til .

    Skjermbilde av veksleknappen for enhetlig overvåkingslogg i avanserte innstillinger for Microsoft Defender XDR 4. Velg Lagre innstillinger.

Viktig

Global administrator er en svært privilegert rolle som bør begrenses til scenarioer når du ikke kan bruke en eksisterende rolle. Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen.

Bruke revisjonssøket i Microsoft Defender XDR

  1. Hvis du vil hente overvåkingslogger for Microsoft Defender XDR-aktiviteter, går du til siden Microsoft Defender XDR-overvåking eller går til samsvarsportalen for Purview og velger Revisjon.

    Skjermbilde av den enhetlige overvåkingsloggsiden i Microsoft Defender XDR

  2. Filtrer aktivitetene, datoene og brukerne du vil overvåke, på Nytt søk-siden .

  3. Velg Søk

    Skjermbilde av søkealternativene for samlet overvåkingslogg i Microsoft Defender XDR

  4. Eksporter resultatene til Excel for videre analyse.

Hvis du vil ha trinnvise instruksjoner, kan du se Søke i overvåkingsloggen i samsvarsportalen.

Oppbevaring av overvåkingsloggoppføring er basert på oppbevaringspolicyer for Microsoft Purview. Hvis du vil ha mer informasjon, kan du se Behandle oppbevaringspolicyer for overvåkingslogg.

Microsoft Defender XDR-aktiviteter

Hvis du vil ha en liste over alle hendelser som er logget for bruker- og administratoraktiviteter i Microsoft Defender XDR i overvåkingsloggen for Microsoft 365, kan du se:

Aktiviteter for Microsoft Defender for endepunkt

Hvis du vil ha en liste over alle hendelser som er logget for bruker- og administratoraktiviteter i Microsoft Defender for endepunkt i overvåkingsloggen for Microsoft 365, kan du se:

Bruke et PowerShell-skript

Du kan bruke følgende PowerShell-kodesnutt til å spørre API-en for Administrasjon av Office 365 for å hente informasjon om Microsoft Defender XDR-hendelser:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Obs!

Se API-kolonnen i Overvåkingsaktiviteter som er inkludert for oppføringstypeverdiene.

Flere ressurser