Pesquisa o log de auditoria para eventos no Microsoft Defender XDR

Artigo
04/27/2024

Aplica-se a:

O log de auditoria pode ajudá-lo a investigar atividades específicas em serviços do Microsoft 365. No portal Microsoft Defender XDR, as atividades de Microsoft Defender XDR e Microsoft Defender para Ponto de Extremidade são auditadas. Algumas das atividades auditadas são:

Alterações nas configurações de retenção de dados
Alterações em recursos avançados
Criação de indicadores de comprometimento
Isolamento de dispositivos
Adicionar\editar\exclusão de funções de segurança
Create\editar regras de detecção personalizadas
Atribuir usuário a incidentes

Para obter uma lista completa das atividades de Microsoft Defender XDR auditadas, consulte atividades Microsoft Defender XDR e atividades de Microsoft Defender para Ponto de Extremidade.

Requisitos

Para acessar o log de auditoria, você precisa ter a função Logs de Auditoria somente exibição ou Logs de Auditoria no Exchange Online. Por padrão, essas funções são atribuídas aos grupos de funções gerenciamento de conformidade e gerenciamento de organização.

Observação

Os administradores globais no Office 365 e Microsoft 365 são automaticamente adicionados como membros do grupo de funções de Gerenciamento da Organização no Exchange Online.

Ativar a auditoria no Microsoft Defender XDR

Microsoft Defender XDR usa a solução de auditoria do Microsoft Purview antes de examinar os dados de auditoria no portal do Microsoft Defender XDR:

Você deve confirmar se a auditoria está ativada no portal de conformidade do Microsoft Purview. Para obter mais informações, consulte Ativar ou desativar a auditoria.
Siga as etapas abaixo para habilitar o log de auditoria unificado no portal do Microsoft Defender XDR:
1. Faça logon no Microsoft Defender XDR usando uma conta com o administrador de segurança ou Administrador global função atribuída.
2. No painel de navegação, selecione Configurações>Pontos de ExtremidadeRecursos avançados>.
3. Role o próprio para o log de auditoria unificado e alterne a configuração para Ativado.
4. Selecione Salvar preferências.

Usando a pesquisa de auditoria no Microsoft Defender XDR

Para recuperar logs de auditoria para atividades de Microsoft Defender XDR, navegue até a página Auditoria Microsoft Defender XDR ou acesse o portal de conformidade do Purview e selecione Auditoria.
Na página Novo Pesquisa, filtre as atividades, as datas e os usuários que você deseja auditar.
Selecione Pesquisa
Exporte os resultados para o Excel para análise posterior.

Para obter instruções passo a passo, consulte Pesquisa o log de auditoria no portal de conformidade.

A retenção de registro de log de auditoria baseia-se nas políticas de retenção do Microsoft Purview. Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.

Microsoft Defender XDR atividades

Para obter uma lista de todos os eventos registrados para atividades de usuário e administrador no Microsoft Defender XDR no log de auditoria do Microsoft 365, consulte:

Microsoft Defender para Ponto de Extremidade atividades

Para obter uma lista de todos os eventos registrados para atividades de usuário e administrador no Microsoft Defender para Ponto de Extremidade no log de auditoria do Microsoft 365, consulte:

Usando um script do PowerShell

Você pode usar o seguinte snippet de código do PowerShell para consultar a API de Gerenciamento de Office 365 para recuperar informações sobre Microsoft Defender XDR eventos:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>