稽核日誌有助於你調查 Microsoft 365 服務中的特定活動。 在 Microsoft Defender 入口網站中,Microsoft Defender 全面偵測回應 和 適用於端點的 Microsoft Defender 活動會被稽核。 部分審計活動包括:
- 資料保留設定變更
- 進階功能的變更
- 妥協指標的建立
- 裝置隔離
- 新增/編輯\刪除安全角色
- 建立/編輯自訂偵測規則
- 將使用者指派到事件中
欲了解完整的 Microsoft Defender 全面偵測回應活動清單,請參見 Microsoft Defender 全面偵測回應活動及 適用於端點的 Microsoft Defender 活動。
Microsoft Defender 全面偵測回應會自動開啟審核功能。 被稽核的功能會自動登錄在稽核日誌中。 稽核也能從GCC環境收集稽核日誌。
必要條件
要存取稽核日誌,你需要在 Exchange Online 中啟用「僅檢視」或「稽核日誌」角色。 預設情況下,這些角色會被分配到合規管理(Compliance Management)和組織管理(Organization Management)角色群組。
注意事項
系統會將 Office 365 和 Microsoft 365 中的全域系統管理員自動新增為 Exchange Online 中 [組織管理] 角色群組的成員。
Microsoft Defender 全面偵測回應採用 Microsoft Purview 稽核解決方案。 在你能查看 Microsoft Defender 入口網站的稽核資料之前,你需要先在 Microsoft Purview 入口網站開啟稽核功能。 欲了解更多資訊,請參閱 「開啟或關閉稽核」。
重要事項
全域管理員是一個高度特權的角色,應該只在無法使用現有角色的情境下使用。 Microsoft 建議您使用權限最少的角色。 使用較低權限的帳號有助於提升組織的安全。
搜尋稽核記錄
請依照以下步驟搜尋稽核日誌:
請前往 Microsoft Defender 入口網站的稽核頁面,或到 Purview 合規入口網站選擇稽核。
在 新搜尋 頁面,篩選你想審核的活動、日期和使用者。
選擇 搜尋
將您的結果匯出至 Excel 以進一步分析。
有關逐步說明,請參閱 合規入口網站的「查詢稽核日誌」。
稽核日誌記錄的保留是基於 Microsoft Purview 的保留政策。 如需詳細資訊,請參閱管理稽核記錄保留原則。
Microsoft Defender 全面偵測回應活動
關於 Microsoft 365 稽核日誌中 Microsoft Defender 全面偵測回應所有用戶及管理員活動的事件清單,請參見:
- Microsoft Defender 全面偵測回應稽核日誌中的自訂偵測活動
- Microsoft Defender 全面偵測回應稽核日誌中的事件活動
- Microsoft Defender 全面偵測回應日誌中的抑制規則活動
適用於端點的 Microsoft Defender 活動
關於 Microsoft 365 稽核日誌中,適用於端點的 Microsoft Defender 中所有用戶及管理員活動的事件清單,請參見:
- Defender for Endpoint 審計日誌中的一般設定活動
- 在 Defender for Endpoint 稽核日誌中設定指標的活動
- Defender for Endpoint 中審計日誌中的回應行動活動
- 角色設定 Defender for Endpoint 的稽核日誌中的活動
使用 PowerShell 腳本搜尋事件
您可以使用以下 PowerShell 程式碼片段查詢 Office 365 管理 API,取得 Microsoft Defender 全面偵測回應事件的資訊:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
注意事項
請參閱審計活動中包含的 API 欄位中的記錄類型值。
欲了解更多資訊,請參閱 使用 PowerShell 腳本搜尋稽核日誌