Поделиться через

Аудит

  • Статья

Область применения:

Администратор клиента может использовать Microsoft Purview для поиска в журналах аудита времени входа Microsoft Defender экспертов в клиент и действий, которые они выполнили для выполнения своих исследований. Вы также можете найти в журналах аудита изменения, внесенные администраторами клиентов в параметры экспертов Defender.

Аудит (стандартный) включен по умолчанию для всех Microsoft Defender экспертов для клиентов XDR, если клиенту назначены платные лицензии. Если у вас есть пробная лицензия, обратитесь к диспетчеру доставки услуг, чтобы включить аудит, если это еще не так.

Примечание.

Убедитесь, что у вас есть необходимые разрешения для поиска журналов аудита.

Поиск журналы аудита для действий, выполняемых экспертами Defender

  1. Войдите в Портал соответствия требованиям Microsoft Purview, чтобы использовать аудит нового Поиск.
  2. Укажите диапазон даты и времени (UTC).
  3. Выберите тип рабочей нагрузки и записи в списке, приведенном в следующей таблице, чтобы еще больше сузить поиск.
  4. Выберите Поиск, чтобы получить список журналов аудита, связанных с действиями, выполняемыми нашими экспертами в вашем клиенте.

Частичный снимок экрана: страница нового поиска в Защитнике Портал соответствия требованиям Microsoft Purview.

Действия, выполняемые экспертами Defender Workload Тип записи
Вход в клиент клиента AzureActiveDirectory AzureActiveDirectoryStsLogon
Внесение изменений в инциденты на портале Microsoft Defender Microsoft365Defender MS365Dincident
Внесение изменений в правила подавления оповещений на портале Microsoft Defender Microsoft365Defender MS365DSuppressionRule
Внесение изменений в индикаторы в Microsoft Defender для конечной точки MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
Выполнение действий по исправлению устройств в Microsoft Defender для конечной точки MicrosoftDefenderForEndpoint MSDEResponseActions

Частичный снимок экрана: пример журнала аудита, связанный с экспертами Defender.

Поиск журналы аудита для действий, выполняемых администраторами, в параметрах экспертов Defender

  1. Войдите в Портал соответствия требованиям Microsoft Purview, чтобы использовать аудит нового Поиск.
  2. Укажите диапазон даты и времени (UTC).
  3. В разделе Рабочая нагрузка выберите MicrosoftDefenderExperts.
  4. Выберите Поиск, чтобы вывести журналы аудита, связанные с действиями, выполняемыми администраторами клиента, в параметрах экспертов Defender.

Частичный снимок экрана: страница нового поиска в Защитнике Портал соответствия требованиям Microsoft Purview с выбранным полем Рабочей нагрузки MicrosoftDefenderExperts.

Поиск журналов аудита с помощью скрипта PowerShell

Помимо использования нового Поиск аудита в Портал соответствия требованиям Microsoft Purview, для поиска журналов аудита можно использовать командлеты PowerShell. Подробнее.

См. также

Важные рекомендации для Microsoft Defender экспертов по XDR

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.