Share via

Поиск журнал аудита для событий в Microsoft Defender XDR

  • Статья

Область применения:

Журнал аудита поможет вам исследовать конкретные действия в службах Microsoft 365. На портале Microsoft Defender XDR выполняется аудит действий Microsoft Defender XDR и Microsoft Defender для конечной точки. Ниже перечислены некоторые из проверенных действий.

  • Изменения параметров хранения данных
  • Изменения в расширенных функциях
  • Создание индикаторов компрометации
  • Изоляция устройств
  • Добавление\изменение\удаление ролей безопасности
  • Create\изменить настраиваемые правила обнаружения
  • Назначение пользователя инциденту

Полный список действий Microsoft Defender XDR, которые проверяются, см. в разделе действия Microsoft Defender XDR и действия Microsoft Defender для конечной точки.

Требования

Чтобы получить доступ к журналу аудита, в Exchange Online должна быть роль "Только просмотр журналов аудита" или "Журналы аудита". По умолчанию эти роли назначаются группам ролей "Управление соответствием требованиям" и "Управление организацией".

Примечание.

Глобальные администраторы в Office 365 и Microsoft 365 автоматически добавляются в качестве участников группы ролей управления организацией в Exchange Online.

Включение аудита в Microsoft Defender XDR

Microsoft Defender XDR использует решение аудита Microsoft Purview, прежде чем просматривать данные аудита на портале Microsoft Defender XDR:

  • Убедитесь, что аудит включен в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в разделе Включение и отключение аудита.

  • Чтобы включить единый журнал аудита на портале Microsoft Defender XDR, выполните следующие действия:

    1. Войдите в Microsoft Defender XDR с помощью учетной записи администратора безопасности или назначенной глобальный администратор роли.
    2. В области навигации выберите Параметры Конечные>>точкиДополнительные функции.
    3. Прокрутите собственный до единого журнала аудита и переключите параметр в значение Вкл.

    Снимок экрана: переключатель единого журнала аудита в Microsoft Defender XDR дополнительных параметров 4. Выберите Сохранить параметры.

Использование поиска аудита в Microsoft Defender XDR

  1. Чтобы получить журналы аудита для Microsoft Defender XDR действий, перейдите на страницу Microsoft Defender XDR Аудит или перейдите на портал соответствия требованиям Purview и выберите Аудит.

    Снимок экрана: страница единого журнала аудита в Microsoft Defender XDR

  2. На странице Создание Поиск отфильтруйте действия, даты и пользователей, которые требуется выполнить аудит.

  3. Выберите Поиск

    Снимок экрана: параметры поиска в едином журнале аудита в Microsoft Defender XDR

  4. Экспорт результатов в Excel для дальнейшего анализа.

Пошаговые инструкции см. в разделе Поиск журнала аудита на портале соответствия требованиям.

Хранение записей журнала аудита основано на политиках хранения Microsoft Purview. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.

действия Microsoft Defender XDR

Список всех событий, зарегистрированных для действий пользователей и администраторов в Microsoft Defender XDR в журнале аудита Microsoft 365, см. в следующих разделах:

действия Microsoft Defender для конечной точки

Список всех событий, зарегистрированных для действий пользователей и администраторов в Microsoft Defender для конечной точки в журнале аудита Microsoft 365, см. в следующих разделах:

Использование скрипта PowerShell

Следующий фрагмент кода PowerShell можно использовать для запроса API управления Office 365 для получения сведений о событиях Microsoft Defender XDR:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Примечание.

Сведения о типах записей см. в столбце API в разделе Действия аудита, включенные.

Дополнительные ресурсы