共用方式為


稽核

適用於:

身為租用戶系統管理員,您可以使用 Microsoft Purview 來搜尋稽核記錄中 Microsoft Defender 專家登入租用戶的時間,以及他們在該處執行調查所執行的動作。 您也可以搜尋稽核記錄,以取得租用戶系統管理員對 Defender 專家設定所做的變更。

將付費授權指派給租使用者時,預設會為所有適用於 XDR 客戶的 Microsoft Defender 專家開啟稽核 (標準) 。 如果您有試用版授權,請與服務傳遞管理員合作,以在尚未開啟稽核時開啟稽核。

注意事項

請確定您具有搜尋稽核記錄 的正確權 限。

搜尋 Defender 專家所執行動作的稽核記錄

  1. 登入 Microsoft Purview 合規性入口網站 以使用稽核新 搜尋
  2. 提供 UTC) (日期和時間範圍
  3. 從下表所示的清單中選取 [ 工作負載 ] 和 [ 記錄類型 ],以進一步縮小搜尋範圍。
  4. 取 [搜尋],列出與租用戶中專家所採取動作相關的稽核記錄。

Microsoft Purview 合規性入口網站 Defender 新增搜尋頁面的部分螢幕快照。

Defender 專家所執行的動作 工作負載 記錄類型
登入客戶租使用者 AzureActiveDirectory AzureActiveDirectoryStsLogon
在入口網站中變更事件 Microsoft Defender Microsoft365Defender MS365Dincident
在入口網站中變更警示隱藏規則 Microsoft Defender Microsoft365Defender MS365DSuppressionRule
變更 適用於端點的 Microsoft Defender 中的指標 MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
在 適用於端點的 Microsoft Defender 中執行裝置補救動作 MicrosoftDefenderForEndpoint MSDEResponseActions

與 Defender 專家相關的範例稽核記錄部分螢幕快照。

搜尋 Defender 專家設定中系統管理員所執行動作的稽核記錄

  1. 登入 Microsoft Purview 合規性入口網站 以使用稽核新 搜尋
  2. 提供 UTC) (日期和時間範圍
  3. 在 [ 工作負載] 下,選擇 [MicrosoftDefenderExperts]
  4. 取 [搜尋] 以列出與租用戶系統管理員對 Defender 專家設定所採取動作相關的稽核記錄。

[Microsoft Purview 合規性入口網站 Defender 新增搜尋] 頁面的部分螢幕快照,其中顯示選取至 MicrosoftDefenderExperts 的 [工作負載] 字段。

使用 PowerShell 腳本 搜尋 稽核記錄

除了在 Microsoft Purview 合規性入口網站 中使用稽核新 搜尋,您還可以使用PowerShell Cmdlet來搜尋稽核記錄。 深入了解

另請參閱

Microsoft Defender XDR 專家的重要考慮

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。