Przeszukiwanie dziennika inspekcji pod kątem zdarzeń w usłudze Microsoft Defender XDR
Dotyczy:
Dziennik inspekcji może pomóc w zbadaniu określonych działań w usługach Platformy Microsoft 365. W portalu XDR usługi Microsoft Defender działania Microsoft Defender XDR i Microsoft Defender for Endpoint są poddawane inspekcji. Niektóre z skontrolowanych działań to:
- Zmiany ustawień przechowywania danych
- Zmiany w funkcjach zaawansowanych
- Tworzenie wskaźników kompromisu
- Izolacja urządzeń
- Dodawanie\edytowanie\usuwanie ról zabezpieczeń
- Tworzenie/edytowanie niestandardowych reguł wykrywania
- Przypisywanie użytkownika do zdarzeń
Aby uzyskać pełną listę działań XDR usługi Microsoft Defender, które są poddawane inspekcji, zobacz Działania XDR usługi Microsoft Defender i Działania programu Microsoft Defender for Endpoint.
Wymagania
Aby uzyskać dostęp do dziennika inspekcji, musisz mieć rolę Dzienniki inspekcji tylko do wyświetlania lub Dzienniki inspekcji w usłudze Exchange Online. Domyślnie te role są przypisywane do grup ról Zarządzanie zgodnością i Zarządzanie organizacją.
Uwaga
Administratorzy globalni w usługach Office 365 i Microsoft 365 są automatycznie dodawani jako członkowie grupy ról Zarządzanie organizacjami w usłudze Exchange Online.
Włączanie inspekcji w usłudze Microsoft Defender XDR
Usługa Microsoft Defender XDR używa rozwiązania do inspekcji usługi Microsoft Purview, zanim będzie można zapoznać się z danymi inspekcji w portalu XDR usługi Microsoft Defender:
Upewnij się, że inspekcja jest włączona w portalu zgodności usługi Microsoft Purview. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie inspekcji.
Wykonaj poniższe kroki, aby włączyć ujednolicony dziennik inspekcji w portalu XDR usługi Microsoft Defender:
- Zaloguj się do usługi Microsoft Defender XDR przy użyciu konta z przypisaną rolą administratora zabezpieczeń lub administratora globalnego.
- W okienku nawigacji wybierz pozycję Ustawienia>Punkty końcowe>Funkcje zaawansowane.
- Przewiń własne do ujednoliconego dziennika inspekcji i przełącz ustawienie na Włączone.
Ważna
Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy, gdy nie można użyć istniejącej roli. Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji.
Korzystanie z wyszukiwania inspekcji w usłudze Microsoft Defender XDR
Aby pobrać dzienniki inspekcji dla działań XDR usługi Microsoft Defender, przejdź do strony Inspekcja XDR usługi Microsoft Defender lub przejdź do portalu zgodności usługi Purview i wybierz pozycję Inspekcja.
Na stronie Nowe wyszukiwanie przefiltruj działania, daty i użytkowników, którzy mają zostać przefiltrowane.
Wybierz pozycję Wyszukaj
Wyeksportuj wyniki do programu Excel w celu dalszej analizy.
Aby uzyskać instrukcje krok po kroku, zobacz Przeszukiwanie dziennika inspekcji w portalu zgodności.
Przechowywanie rekordów dziennika inspekcji jest oparte na zasadach przechowywania usługi Microsoft Purview. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami przechowywania dzienników inspekcji.
Działania usługi Microsoft Defender XDR
Aby uzyskać listę wszystkich zdarzeń zarejestrowanych dla działań użytkownika i administratora w usłudze Microsoft Defender XDR w dzienniku inspekcji platformy Microsoft 365, zobacz:
- Niestandardowe działania wykrywania w usłudze Microsoft Defender XDR w dzienniku inspekcji
- Działania dotyczące incydentów w usłudze Microsoft Defender XDR w dzienniku inspekcji
- Działania reguł pomijania w usłudze Microsoft Defender XDR w dzienniku inspekcji
Działania usługi Microsoft Defender dla punktu końcowego
Aby uzyskać listę wszystkich zdarzeń zarejestrowanych dla działań użytkownika i administratora w usłudze Microsoft Defender for Endpoint w dzienniku inspekcji platformy Microsoft 365, zobacz:
- Ogólne działania ustawień w usłudze Defender for Endpoint w dzienniku inspekcji
- Działania ustawień wskaźnika w usłudze Defender for Endpoint w dzienniku inspekcji
- Działania akcji reagowania w usłudze Defender for Endpoint w dzienniku inspekcji
- Działania ustawień ról w usłudze Defender for Endpoint w dzienniku inspekcji
Używanie skryptu programu PowerShell
Poniższy fragment kodu programu PowerShell umożliwia wykonywanie zapytań względem interfejsu API zarządzania usługi Office 365 w celu pobrania informacji o zdarzeniach XDR usługi Microsoft Defender:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
Uwaga
Zobacz kolumnę interfejsu API w sekcji Inspekcja działań uwzględnionych dla wartości typu rekordu.
Dodatkowe materiały
- Przeszukiwanie dziennika inspekcji w centrum zgodności
- Przeszukaj dziennik inspekcji za pomocą skryptu programu PowerShell
- Szczegółowe właściwości w dzienniku inspekcji
- Eksportuj, konfiguruj i wyświetlaj rekordy dziennika inspekcji
- Dokumentacja dotycząca interfejsu API działań związanych z zarządzaniem w usłudze Office 365