Udostępnij za pośrednictwem


Przeszukiwanie dziennika inspekcji pod kątem zdarzeń w usłudze Microsoft Defender XDR

Dotyczy:

Dziennik inspekcji może pomóc w zbadaniu określonych działań w usługach Platformy Microsoft 365. W portalu XDR usługi Microsoft Defender działania Microsoft Defender XDR i Microsoft Defender for Endpoint są poddawane inspekcji. Niektóre z skontrolowanych działań to:

  • Zmiany ustawień przechowywania danych
  • Zmiany w funkcjach zaawansowanych
  • Tworzenie wskaźników kompromisu
  • Izolacja urządzeń
  • Dodawanie\edytowanie\usuwanie ról zabezpieczeń
  • Tworzenie/edytowanie niestandardowych reguł wykrywania
  • Przypisywanie użytkownika do zdarzeń

Aby uzyskać pełną listę działań XDR usługi Microsoft Defender, które są poddawane inspekcji, zobacz Działania XDR usługi Microsoft Defender i Działania programu Microsoft Defender for Endpoint.

Wymagania

Aby uzyskać dostęp do dziennika inspekcji, musisz mieć rolę Dzienniki inspekcji tylko do wyświetlania lub Dzienniki inspekcji w usłudze Exchange Online. Domyślnie te role są przypisywane do grup ról Zarządzanie zgodnością i Zarządzanie organizacją.

Uwaga

Administratorzy globalni w usługach Office 365 i Microsoft 365 są automatycznie dodawani jako członkowie grupy ról Zarządzanie organizacjami w usłudze Exchange Online.

Włączanie inspekcji w usłudze Microsoft Defender XDR

Usługa Microsoft Defender XDR używa rozwiązania do inspekcji usługi Microsoft Purview, zanim będzie można zapoznać się z danymi inspekcji w portalu XDR usługi Microsoft Defender:

  • Upewnij się, że inspekcja jest włączona w portalu zgodności usługi Microsoft Purview. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie inspekcji.

  • Wykonaj poniższe kroki, aby włączyć ujednolicony dziennik inspekcji w portalu XDR usługi Microsoft Defender:

    1. Zaloguj się do usługi Microsoft Defender XDR przy użyciu konta z przypisaną rolą administratora zabezpieczeń lub administratora globalnego.
    2. W okienku nawigacji wybierz pozycję Ustawienia>Punkty końcowe>Funkcje zaawansowane.
    3. Przewiń własne do ujednoliconego dziennika inspekcji i przełącz ustawienie na Włączone.

    Zrzut ekranu przedstawiający przełącznik ujednoliconego dziennika inspekcji w zaawansowanych ustawieniach usługi Microsoft Defender XDR 4. Wybierz pozycję Zapisz preferencje.

Ważna

Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy, gdy nie można użyć istniejącej roli. Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji.

Korzystanie z wyszukiwania inspekcji w usłudze Microsoft Defender XDR

  1. Aby pobrać dzienniki inspekcji dla działań XDR usługi Microsoft Defender, przejdź do strony Inspekcja XDR usługi Microsoft Defender lub przejdź do portalu zgodności usługi Purview i wybierz pozycję Inspekcja.

    Zrzut ekranu przedstawiający stronę ujednoliconego dziennika inspekcji w usłudze Microsoft Defender XDR

  2. Na stronie Nowe wyszukiwanie przefiltruj działania, daty i użytkowników, którzy mają zostać przefiltrowane.

  3. Wybierz pozycję Wyszukaj

    Zrzut ekranu przedstawiający opcje wyszukiwania ujednoliconego dziennika inspekcji w usłudze Microsoft Defender XDR

  4. Wyeksportuj wyniki do programu Excel w celu dalszej analizy.

Aby uzyskać instrukcje krok po kroku, zobacz Przeszukiwanie dziennika inspekcji w portalu zgodności.

Przechowywanie rekordów dziennika inspekcji jest oparte na zasadach przechowywania usługi Microsoft Purview. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami przechowywania dzienników inspekcji.

Działania usługi Microsoft Defender XDR

Aby uzyskać listę wszystkich zdarzeń zarejestrowanych dla działań użytkownika i administratora w usłudze Microsoft Defender XDR w dzienniku inspekcji platformy Microsoft 365, zobacz:

Działania usługi Microsoft Defender dla punktu końcowego

Aby uzyskać listę wszystkich zdarzeń zarejestrowanych dla działań użytkownika i administratora w usłudze Microsoft Defender for Endpoint w dzienniku inspekcji platformy Microsoft 365, zobacz:

Używanie skryptu programu PowerShell

Poniższy fragment kodu programu PowerShell umożliwia wykonywanie zapytań względem interfejsu API zarządzania usługi Office 365 w celu pobrania informacji o zdarzeniach XDR usługi Microsoft Defender:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Uwaga

Zobacz kolumnę interfejsu API w sekcji Inspekcja działań uwzględnionych dla wartości typu rekordu.

Dodatkowe materiały