Auditoria
Aplica-se a:
Como administrador de locatários, você pode usar o Microsoft Purview para pesquisar os logs de auditoria das vezes Microsoft Defender Especialistas entraram em seu locatário e as ações que eles fizeram lá para executar suas investigações. Você também pode pesquisar os logs de auditoria para obter as alterações feitas pelos administradores de locatários nas configurações do Defender Experts.
A auditoria (Standard) é ativada por padrão para todos os Microsoft Defender Especialistas para clientes XDR quando licenças pagas são atribuídas ao locatário. Se você tiver uma licença de avaliação, trabalhe com o gerenciador de entrega de serviços para ativar Auditoria se ainda não estiver.
Observação
Verifique se você tem as permissões certas para pesquisar logs de auditoria.
- Entre no portal de conformidade do Microsoft Purview para usar Audit New Pesquisa.
- Forneça um UTC (data e intervalo de tempo).
- Selecione o tipo Carga de Trabalho e Registro na lista mostrada na tabela a seguir para restringir ainda mais sua pesquisa.
- Selecione Pesquisa para listar os logs de auditoria relacionados às ações realizadas por nossos especialistas em seu locatário.
Ação executada por Especialistas do Defender | Workload | Tipo de registro |
---|---|---|
Entrar no locatário do cliente | AzureActiveDirectory | AzureActiveDirectoryStsLogon |
Fazer alterações em incidentes no portal Microsoft Defender | Microsoft365Defender | MS365Dincident |
Fazer alterações nas regras de supressão de alerta no portal Microsoft Defender | Microsoft365Defender | MS365DSuppressionRule |
Fazer alterações nos indicadores no Microsoft Defender para Ponto de Extremidade | MicrosoftDefenderForEndpoint | MSDEIndicatorsSettings |
Executar ações de correção de dispositivo no Microsoft Defender para Ponto de Extremidade | MicrosoftDefenderForEndpoint | MSDEResponseActions |
Pesquisa os logs de auditoria para ações executadas pelos administradores nas configurações do Defender Experts
- Entre no portal de conformidade do Microsoft Purview para usar Audit New Pesquisa.
- Forneça um UTC (data e intervalo de tempo).
- Em Carga de Trabalho, escolha MicrosoftDefenderExperts.
- Selecione Pesquisa para listar os logs de auditoria relacionados às ações tomadas pelos administradores de locatários para as configurações do Defender Experts.
Além de usar Audit New Pesquisa no portal de conformidade do Microsoft Purview, você pode usar cmdlets do PowerShell para pesquisar logs de auditoria. Saiba mais.
Considerações importantes para especialistas em Microsoft Defender para XDR
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.