搜索Microsoft Defender XDR中事件的审核日志
适用于:
审核日志可帮助你调查 Microsoft 365 服务中的特定活动。 在Microsoft Defender XDR门户中,将审核Microsoft Defender XDR和Microsoft Defender for Endpoint活动。 审核的一些活动包括:
- 对数据保留设置的更改
- 对高级功能的更改
- 创建泄露指标
- 设备的隔离
- 添加\编辑\删除安全角色
- Create\编辑自定义检测规则
- 将用户分配到事件
有关审核的Microsoft Defender XDR活动的完整列表,请参阅Microsoft Defender XDR活动和Microsoft Defender for Endpoint活动。
要求
若要访问审核日志,需要在 Exchange Online 中具有“仅查看审核日志”或“审核日志”角色。 默认情况下,这些角色分配给合规性管理和组织管理角色组。
注意
Office 365 和 Microsoft 365 中的全局管理员将自动添加为 Exchange Online 的组织管理角色组成员。
在 Microsoft Defender XDR 中启用审核
Microsoft Defender XDR使用 Microsoft Purview 审核解决方案,然后才能在Microsoft Defender XDR门户中查看审核数据:
应确认在Microsoft Purview 合规门户中已启用审核。 有关详细信息,请参阅 打开或关闭审核。
按照以下步骤在Microsoft Defender XDR门户中启用统一审核日志:
- 使用分配有安全管理员或全局管理员角色的帐户登录到Microsoft Defender XDR。
- 在导航窗格中,选择 “设置>终结点>高级功能”。
- 滚动到 “统一审核日志 ”,并将设置切换为 “开”。
在 Microsoft Defender XDR 中使用审核搜索
若要检索Microsoft Defender XDR活动的审核日志,请导航到“Microsoft Defender XDR审核”页或转到 Purview 合规性门户,然后选择“审核”。
在“新建搜索”页上,筛选要审核的活动、日期和用户。
选择搜索
将结果导出到 Excel 进行进一步分析。
有关分步说明,请参阅在合规性门户中搜索审核日志。
审核日志记录保留基于 Microsoft Purview 保留策略。 有关详细信息,请参阅管理审核日志保留策略。
Microsoft Defender XDR活动
有关 Microsoft 365 审核日志中Microsoft Defender XDR中为用户和管理员活动记录的所有事件的列表,请参阅:
- 审核日志中Microsoft Defender XDR中的自定义检测活动
- 审核日志中Microsoft Defender XDR中的事件活动
- 审核日志中Microsoft Defender XDR中的抑制规则活动
Microsoft Defender for Endpoint活动
有关 Microsoft 365 审核日志中Microsoft Defender for Endpoint用户和管理员活动记录的所有事件的列表,请参阅:
- 审核日志中 Defender for Endpoint 中的常规设置活动
- 审核日志中 Defender for Endpoint 中的指示器设置活动
- 审核日志中 Defender for Endpoint 中的响应操作活动
- 审核日志中 Defender for Endpoint 中的角色设置活动
使用 PowerShell 脚本
可以使用以下 PowerShell 代码片段查询Office 365管理 API,以检索有关Microsoft Defender XDR事件的信息:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
注意
有关记录类型值,请参阅包含的“审核活动”中的“API”列。
其他资源
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈