使用英语阅读

通过


审核

适用于:

作为租户管理员,你可以使用 Microsoft Purview 在审核日志中搜索Microsoft Defender专家登录到你的租户的时间,以及他们在那里执行调查所执行的操作。 还可以在审核日志中搜索租户管理员对 Defender 专家设置所做的更改。

将付费许可证分配给租户时,默认情况下,XDR 客户的所有Microsoft Defender专家都会启用审核 (Standard ) 。 如果你有试用许可证,请与服务交付管理器协作,以启用审核(如果尚未启用)。

备注

确保具有搜索审核日志的适当 权限

搜索 Defender 专家执行的操作的审核日志

  1. 登录到Microsoft Purview 合规门户以使用 Audit New 搜索
  2. (UTC) 提供日期和时间范围
  3. 从下表中显示的列表中选择 “工作负荷 ”和“ 记录类型 ”以进一步缩小搜索范围。
  4. 选择搜索列出与租户中的专家执行的操作相关的审核日志。

Microsoft Purview 合规门户 Defender 新建搜索页面的部分屏幕截图。

Defender 专家执行的操作 Workload 记录类型
登录到客户租户 AzureActiveDirectory AzureActiveDirectoryStsLogon
在 Microsoft Defender 门户中更改事件 Microsoft365Defender MS365Dincident
在Microsoft Defender门户中更改警报抑制规则 Microsoft365Defender MS365DSuppressionRule
对Microsoft Defender for Endpoint中的指示器进行更改 MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
在 Microsoft Defender for Endpoint 中执行设备修正操作 MicrosoftDefenderForEndpoint MSDEResponseActions

与 Defender 专家相关的示例审核日志的部分屏幕截图。

搜索管理员在 Defender 专家设置中执行的操作的审核日志

  1. 登录到Microsoft Purview 合规门户以使用 Audit New 搜索
  2. (UTC) 提供日期和时间范围
  3. “工作负荷”下,选择“ MicrosoftDefenderExperts”。
  4. 选择“搜索”,列出与租户管理员对 Defender Experts 设置执行的操作相关的审核日志。

Microsoft Purview 合规门户 Defender 新建搜索页的部分屏幕截图,其中显示了已选择 MicrosoftDefenderExperts 的“工作负荷”字段。

使用 PowerShell 脚本搜索审核日志

除了在Microsoft Purview 合规门户中使用 Audit New 搜索外,还可以使用 PowerShell cmdlet 搜索审核日志。 了解详细信息

另请参阅

XDR Microsoft Defender专家的重要注意事项

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区