通过

搜索Microsoft Defender XDR中事件的审核日志

  • 项目

适用于:

审核日志可帮助你调查 Microsoft 365 服务中的特定活动。 在Microsoft Defender XDR门户中,将审核Microsoft Defender XDR和Microsoft Defender for Endpoint活动。 审核的一些活动包括:

  • 对数据保留设置的更改
  • 对高级功能的更改
  • 创建泄露指标
  • 设备的隔离
  • 添加\编辑\删除安全角色
  • Create\编辑自定义检测规则
  • 将用户分配到事件

有关审核的Microsoft Defender XDR活动的完整列表,请参阅Microsoft Defender XDR活动和Microsoft Defender for Endpoint活动

要求

若要访问审核日志,需要在 Exchange Online 中具有“仅查看审核日志”或“审核日志”角色。 默认情况下,这些角色分配给合规性管理和组织管理角色组。

注意

Office 365 和 Microsoft 365 中的全局管理员将自动添加为 Exchange Online 的组织管理角色组成员。

在 Microsoft Defender XDR 中启用审核

Microsoft Defender XDR使用 Microsoft Purview 审核解决方案,然后才能在Microsoft Defender XDR门户中查看审核数据:

  • 应确认在Microsoft Purview 合规门户中已启用审核。 有关详细信息,请参阅 打开或关闭审核

  • 按照以下步骤在Microsoft Defender XDR门户中启用统一审核日志:

    1. 使用分配有安全管理员或全局管理员角色的帐户登录到Microsoft Defender XDR。
    2. 在导航窗格中,选择 “设置>终结点>高级功能”。
    3. 滚动到 “统一审核日志 ”,并将设置切换为 “开”。

    Microsoft Defender XDR高级设置 4 中统一审核日志切换的屏幕截图。选择“保存首选项”。

在 Microsoft Defender XDR 中使用审核搜索

  1. 若要检索Microsoft Defender XDR活动的审核日志,请导航到“Microsoft Defender XDR审核”页或转到 Purview 合规性门户,然后选择“审核”。

    Microsoft Defender XDR中统一审核日志页的屏幕截图

  2. “新建搜索”页上,筛选要审核的活动、日期和用户。

  3. 选择搜索

    Microsoft Defender XDR中统一审核日志搜索选项的屏幕截图

  4. 将结果导出到 Excel 进行进一步分析。

有关分步说明,请参阅在合规性门户中搜索审核日志

审核日志记录保留基于 Microsoft Purview 保留策略。 有关详细信息,请参阅管理审核日志保留策略

Microsoft Defender XDR活动

有关 Microsoft 365 审核日志中Microsoft Defender XDR中为用户和管理员活动记录的所有事件的列表,请参阅:

Microsoft Defender for Endpoint活动

有关 Microsoft 365 审核日志中Microsoft Defender for Endpoint用户和管理员活动记录的所有事件的列表,请参阅:

使用 PowerShell 脚本

可以使用以下 PowerShell 代码片段查询Office 365管理 API,以检索有关Microsoft Defender XDR事件的信息:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

注意

有关记录类型值,请参阅包含的“审核活动”中的“API”列。

其他资源