搜尋稽核記錄中Microsoft Defender XDR 中的事件

發行項
07/24/2024

適用於：

稽核記錄可協助您調查Microsoft 365 服務的特定活動。在 Microsoft Defender XDR 入口網站中，會稽核 Microsoft Defender XDR 和適用於端點的 Microsoft Defender 活動。稽核的一些活動包括：

數據保留設定的變更
進階功能的變更
建立入侵指標
隔離裝置
新增\edit\deletion 安全性角色
建立\編輯自定義偵測規則
將使用者指派給事件

如需已稽核Microsoft Defender XDR 活動的完整清單，請參閱 Microsoft Defender XDR 活動和適用於端點的 Microsoft Defender 活動。

需求

若要存取稽核記錄，您必須在 Exchange Online 中具有 僅限檢視稽核記錄 或 稽核記錄 角色。根據預設，這些角色會指派給合規性管理和組織管理角色群組。

注意事項

系統會將 Office 365 和 Microsoft 365 中的全域系統管理員自動新增為 Exchange Online 中 [組織管理] 角色群組的成員。

在 Microsoft Defender XDR 中開啟稽核

Microsoft Defender XDR 會使用 Microsoft Purview 稽核解決方案，然後才能在 Microsoft Defender XDR 入口網站中查看稽核數據：

您應該確認已在 Microsoft Purview 合規性入口網站中開啟稽核。如需詳細資訊，請參閱開啟或關閉稽核。
請遵循下列步驟，在 Microsoft Defender XDR 入口網站中啟用統一稽核記錄：
1. 使用已指派安全性系統管理員或全域管理員角色的帳戶登入 Microsoft Defender XDR 。
2. 在瀏覽窗格中，選取> [設定端點進階>功能]。
3. 自行捲動至 整合稽核記錄 ，並將設定切換為 [開啟]。
4.選取 [儲存喜好設定]。

重要事項

全域管理員是高度特殊許可權的角色，當您無法使用現有角色時，應限於案例。 Microsoft 建議您使用權限最少的角色。使用較低許可權的帳戶有助於改善組織的安全性。

在 Microsoft Defender XDR 中使用稽核搜尋

若要擷取 Microsoft Defender XDR 活動的稽核記錄，請流覽至 [Microsoft Defender XDR 稽核] 頁面，或移至 Purview 合規性入口網站，然後選取 [ 稽核]。
在 [ 新增搜尋] 頁面上，篩選您想要稽核的活動、日期和使用者。
選 取搜尋
將您的結果匯出至 Excel 以進一步分析。

如需逐步指示，請參閱在合規性入口網站中搜尋稽核記錄。

稽核記錄保留是以 Purview 保留原則Microsoft為基礎。如需詳細資訊，請參閱管理稽核記錄保留原則。

Microsoft Defender XDR 活動

如需在 Microsoft 365 稽核記錄中針對 Microsoft Defender XDR 中使用者和系統管理活動所記錄的所有事件清單，請參閱：

Microsoft適用於端點的 Defender 活動

如需 Microsoft 365 稽核記錄中適用於端點的 Microsoft Defender 中針對使用者和系統管理活動記錄的所有事件清單，請參閱：

使用 PowerShell 腳本

您可以使用下列 PowerShell 代碼段來查詢 Office 365 管理 API，以擷取Microsoft Defender XDR 事件的相關信息：

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

注意事項

如需記錄類型值，請參閱稽核活動中包含的API數據行。

共用方式為