Аудит
Область применения:
Администратор клиента может использовать Microsoft Purview для поиска в журналах аудита времени входа Microsoft Defender экспертов в клиент и действий, которые они выполнили для выполнения своих исследований. Вы также можете найти в журналах аудита изменения, внесенные администраторами клиентов в параметры экспертов Defender.
Аудит (стандартный) включен по умолчанию для всех Microsoft Defender экспертов для клиентов XDR, если клиенту назначены платные лицензии. Если у вас есть пробная лицензия, обратитесь к диспетчеру доставки услуг, чтобы включить аудит, если это еще не так.
Примечание
Убедитесь, что у вас есть необходимые разрешения для поиска журналов аудита.
- Войдите в Портал соответствия требованиям Microsoft Purview, чтобы использовать аудит нового Поиск.
- Укажите диапазон даты и времени (UTC).
- Выберите тип рабочей нагрузки и записи в списке, приведенном в следующей таблице, чтобы еще больше сузить поиск.
- Выберите Поиск, чтобы получить список журналов аудита, связанных с действиями, выполняемыми нашими экспертами в вашем клиенте.
Действия, выполняемые экспертами Defender | Workload | Тип записи |
---|---|---|
Вход в клиент клиента | AzureActiveDirectory | AzureActiveDirectoryStsLogon |
Внесение изменений в инциденты на портале Microsoft Defender | Microsoft365Defender | MS365Dincident |
Внесение изменений в правила подавления оповещений на портале Microsoft Defender | Microsoft365Defender | MS365DSuppressionRule |
Внесение изменений в индикаторы в Microsoft Defender для конечной точки | MicrosoftDefenderForEndpoint | MSDEIndicatorsSettings |
Выполнение действий по исправлению устройств в Microsoft Defender для конечной точки | MicrosoftDefenderForEndpoint | MSDEResponseActions |
- Войдите в Портал соответствия требованиям Microsoft Purview, чтобы использовать аудит нового Поиск.
- Укажите диапазон даты и времени (UTC).
- В разделе Рабочая нагрузка выберите MicrosoftDefenderExperts.
- Выберите Поиск, чтобы вывести журналы аудита, связанные с действиями, выполняемыми администраторами клиента, в параметрах экспертов Defender.
Помимо использования нового Поиск аудита в Портал соответствия требованиям Microsoft Purview, для поиска журналов аудита можно использовать командлеты PowerShell. Подробнее.
Важные рекомендации для Microsoft Defender экспертов по XDR
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.