Поиск по журналам аудита на портале Microsoft Defender

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online единый журнал аудита поддерживает операции пользователей и администраторов. Записи аудита для этих событий доступны для поиска специалистами по обеспечению безопасности, ИТ-администраторами, группами внутренних рисков, а также следователями по соответствию нормативным требованиям и юридическими следователями в организации. Эта возможность обеспечивает информированность о действиях, выполняемых в организации Microsoft 365.

Совет

Поиск по журналам аудита на портале Microsoft Defender идентичен поиску по журналам аудита на портале соответствия требованиям Microsoft Purview по адресу https://compliance.microsoft.com/auditlogsearch.

Что нужно знать перед началом работы

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Разрешения Exchange Online: членство в группах ролей "Управление организацией" или "Управление соответствием требованиям ".

  • Разрешения Microsoft Entra. Членство в ролях глобального администратора^* или администратора соответствия требованиям предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

    Важно!

    ^* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

Открытие поиска по журналу аудита

На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Аудит. Или перейдите непосредственно на страницу Аудит по ссылке https://security.microsoft.com/auditlogsearch.

На странице Аудит создайте поиск по журналу аудита. Инструкции см. в следующих статьях:

• Аудит нового поиска
• Поиск в журнале аудита с помощью сценария PowerShell