Partilhar via


Procurar eventos no Microsoft Defender XDR no registo de auditoria

Aplica-se a:

O registo de auditoria pode ajudá-lo a investigar atividades específicas em todos os serviços do Microsoft 365. No portal do Microsoft Defender XDR, as atividades do Microsoft Defender XDR e do Microsoft Defender para Endpoint são auditadas. Algumas das atividades auditadas são:

  • Alterações às definições de retenção de dados
  • Alterações às funcionalidades avançadas
  • Criação de indicadores de compromisso
  • Isolamento de dispositivos
  • Adicionar\editar\eliminação de funções de segurança
  • Criar\editar regras de deteção personalizadas
  • Atribuir um utilizador a incidentes

Para obter uma lista completa das atividades XDR do Microsoft Defender auditadas, veja Atividades XDR do Microsoft Defender e atividades do Microsoft Defender para Endpoint.

Requisitos

Para aceder ao registo de auditoria, tem de ter a função Registos de Auditoria Apenas de Visualização ou Registos de Auditoria no Exchange Online. Por predefinição, essas funções são atribuídas aos grupos de funções Gestão de Conformidade e Gestão da Organização.

Nota

Os administradores globais no Office 365 e microsoft 365 são adicionados automaticamente como membros do grupo de funções Gestão da Organização no Exchange Online.

Ativar a auditoria no Microsoft Defender XDR

O Microsoft Defender XDR utiliza a solução de auditoria do Microsoft Purview antes de poder ver os dados de auditoria no portal do Microsoft Defender XDR:

  • Deve confirmar que a auditoria está ativada no portal de conformidade do Microsoft Purview. Para obter mais informações, consulte Ativar ou desativar a auditoria.

  • Siga os passos abaixo para ativar o registo de auditoria unificado no portal do Microsoft Defender XDR:

    1. Inicie sessão no Microsoft Defender XDR com uma conta com a função Administrador de segurança ou Administrador global atribuída.
    2. No painel de navegação, selecione Definições>Pontos finais Funcionalidades avançadas>.
    3. Desloque-se para o registo de auditoria Unificado e alterne a definição para Ativado.

    Captura de ecrã do botão de alternar do registo de auditoria unificado nas definições avançadas do Microsoft Defender XDR 4. Selecione Guardar preferências.

Importante

O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários em que não pode utilizar uma função existente. A Microsoft recomenda que utilize funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização.

Utilizar a pesquisa de auditoria no Microsoft Defender XDR

  1. Para obter registos de auditoria para atividades XDR do Microsoft Defender, navegue para a página Auditoria XDR do Microsoft Defender ou aceda ao portal de conformidade do Purview e selecione Auditoria.

    Captura de ecrã da página de registo de auditoria unificada no Microsoft Defender XDR

  2. Na página Nova Pesquisa , filtre as atividades, datas e utilizadores que pretende auditar.

  3. Selecione Procurar

    Captura de ecrã das opções de pesquisa de registos de auditoria unificadas no Microsoft Defender XDR

  4. Exporte os resultados para o Excel para uma análise mais aprofundada.

Para obter instruções passo a passo, consulte Pesquisar o registo de auditoria no portal de conformidade.

A retenção do registo de auditoria baseia-se nas políticas de retenção do Microsoft Purview. Para obter mais informações, veja Gerir políticas de retenção de registos de auditoria.

Atividades XDR do Microsoft Defender

Para obter uma lista de todos os eventos registados para atividades de utilizadores e administradores no Microsoft Defender XDR no registo de auditoria do Microsoft 365, consulte:

Atividades do Microsoft Defender para Endpoint

Para obter uma lista de todos os eventos registados para atividades de utilizador e administrador no Microsoft Defender para Endpoint no registo de auditoria do Microsoft 365, consulte:

Utilizar um script do PowerShell

Pode utilizar o seguinte fragmento de código do PowerShell para consultar a API de Gestão do Office 365 para obter informações sobre eventos XDR do Microsoft Defender:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Nota

Veja a coluna API em Atividades de auditoria incluídas para os valores de tipo de registo.

Recursos adicionais