在审核日志中搜索 Microsoft Defender XDR 中的事件

项目
07/24/2024

适用于：

审核日志可帮助你调查 Microsoft 365 服务中的特定活动。在 Microsoft Defender XDR 门户中，将审核 Microsoft Defender XDR 和 Microsoft Defender for Endpoint 活动。审核的一些活动包括：

对数据保留设置的更改
对高级功能的更改
创建泄露指标
设备的隔离
添加\编辑\删除安全角色
创建\编辑自定义检测规则
将用户分配到事件

有关审核的 Microsoft Defender XDR 活动的完整列表，请参阅 Microsoft Defender XDR 活动和 Microsoft Defender for Endpoint 活动。

要求

若要访问审核日志，需要在 Exchange Online 中具有 “仅查看审核日志 ”或 “审核日志” 角色。默认情况下，这些角色分配给合规性管理和组织管理角色组。

注意

Office 365 和 Microsoft 365 中的全局管理员将自动添加为 Exchange Online 的组织管理角色组成员。

在 Microsoft Defender XDR 中启用审核

Microsoft Defender XDR 使用 Microsoft Purview 审核解决方案，然后才能在 Microsoft Defender XDR 门户中查看审核数据：

应确认在 Microsoft Purview 合规性门户中启用了审核。有关详细信息，请参阅打开或关闭审核。
按照以下步骤在 Microsoft Defender XDR 门户中启用统一审核日志：
1. 使用分配有安全管理员或全局管理员角色的帐户登录到 Microsoft Defender XDR 。
2. 在导航窗格中，选择 “设置>终结点>高级功能”。
3. 滚动到 “统一审核日志 ”，并将设置切换为 “开”。
4.选择“ 保存首选项”。

重要

全局管理员是一种高特权角色，在无法使用现有角色时，应限制为方案。 Microsoft 建议使用权限最少的角色。使用权限较低的帐户有助于提高组织的安全性。

在 Microsoft Defender XDR 中使用审核搜索

若要检索 Microsoft Defender XDR 活动的审核日志，请导航到 “Microsoft Defender XDR 审核”页或转到 Purview 合规性门户，然后选择“ 审核”。
在 “新建搜索 ”页上，筛选要审核的活动、日期和用户。
选择“搜索”
将结果导出到 Excel 进行进一步分析。

有关分步说明，请参阅在合规性门户中搜索审核日志。

审核日志记录保留期基于 Microsoft Purview 保留策略。有关详细信息，请参阅管理审核日志保留策略。

Microsoft Defender XDR 活动

有关在 Microsoft 365 审核日志中为 Microsoft Defender XDR 中的用户和管理员活动记录的所有事件的列表，请参阅：

Microsoft Defender for Endpoint 活动

有关在 Microsoft 365 审核日志中为 Microsoft Defender for Endpoint 中的用户和管理员活动记录的所有事件的列表，请参阅：

使用 PowerShell 脚本

可以使用以下 PowerShell 代码片段来查询 Office 365 管理 API，以检索有关 Microsoft Defender XDR 事件的信息：

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

注意

有关记录类型值，请参阅包含的“审核活动”中的“API”列。

通过