稽核
適用於:
身為租用戶系統管理員,您可以使用 Microsoft Purview 來搜尋稽核記錄中 Microsoft Defender 專家登入租用戶的時間,以及他們在該處執行調查所執行的動作。 您也可以搜尋稽核記錄,以取得租用戶系統管理員對 Defender 專家設定所做的變更。
將付費授權指派給租使用者時,預設會為所有適用於 XDR 客戶的 Microsoft Defender 專家開啟稽核 (標準) 。 如果您有試用版授權,請與服務傳遞管理員合作,以在尚未開啟稽核時開啟稽核。
注意事項
請確定您具有搜尋稽核記錄 的正確權 限。
搜尋 Defender 專家所執行動作的稽核記錄
- 登入 Microsoft Purview 合規性入口網站 以使用稽核新 搜尋。
- 提供 UTC) (日期和時間範圍 。
- 從下表所示的清單中選取 [ 工作負載 ] 和 [ 記錄類型 ],以進一步縮小搜尋範圍。
- 選取 [搜尋],列出與租用戶中專家所採取動作相關的稽核記錄。
| Defender 專家所執行的動作 | 工作負載 | 記錄類型 |
|---|---|---|
| 登入客戶租使用者 | AzureActiveDirectory | AzureActiveDirectoryStsLogon |
| 在入口網站中變更事件 Microsoft Defender | Microsoft365Defender | MS365Dincident |
| 在入口網站中變更警示隱藏規則 Microsoft Defender | Microsoft365Defender | MS365DSuppressionRule |
| 變更 適用於端點的 Microsoft Defender 中的指標 | MicrosoftDefenderForEndpoint | MSDEIndicatorsSettings |
| 在 適用於端點的 Microsoft Defender 中執行裝置補救動作 | MicrosoftDefenderForEndpoint | MSDEResponseActions |
搜尋 Defender 專家設定中系統管理員所執行動作的稽核記錄
- 登入 Microsoft Purview 合規性入口網站 以使用稽核新 搜尋。
- 提供 UTC) (日期和時間範圍 。
- 在 [ 工作負載] 下,選擇 [MicrosoftDefenderExperts]。
- 選取 [搜尋] 以列出與租用戶系統管理員對 Defender 專家設定所採取動作相關的稽核記錄。
![[Microsoft Purview 合規性入口網站 Defender 新增搜尋] 頁面的部分螢幕快照,其中顯示選取至 MicrosoftDefenderExperts 的 [工作負載] 字段。](/zh-tw/defender/media/xdr/audit-3.png#lightbox)
使用 PowerShell 腳本 搜尋 稽核記錄
除了在 Microsoft Purview 合規性入口網站 中使用稽核新 搜尋,您還可以使用PowerShell Cmdlet來搜尋稽核記錄。 深入了解。
另請參閱
Microsoft Defender XDR 專家的重要考慮
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。