搜尋 中事件的稽核記錄 Microsoft Defender 全面偵測回應

適用於：

• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

稽核記錄可協助您調查整個 Microsoft 365 服務的特定活動。 在 Microsoft Defender 全面偵測回應 入口網站中，會稽核 Microsoft Defender 全面偵測回應 和 適用於端點的 Microsoft Defender 活動。 稽核的一些活動包括：

• 數據保留設定的變更
• 進階功能的變更
• 建立入侵指標
• 隔離裝置
• 新增\edit\deletion 安全性角色
• Create\編輯自定義偵測規則
• 將使用者指派給事件

如需已稽核 Microsoft Defender 全面偵測回應 活動的完整清單，請參閱 Microsoft Defender 全面偵測回應 活動和 適用於端點的 Microsoft Defender 活動。

需求

若要存取稽核記錄，您必須在 Exchange Online 中具有僅限檢視稽核記錄或稽核記錄角色。 根據預設，這些角色會指派給合規性管理和組織管理角色群組。

注意事項

系統會將 Office 365 和 Microsoft 365 中的全域系統管理員自動新增為 Exchange Online 中 [組織管理] 角色群組的成員。

在 Microsoft Defender 全面偵測回應 中開啟稽核

Microsoft Defender 全面偵測回應 使用 Microsoft Purview 稽核解決方案，然後才能在 Microsoft Defender 全面偵測回應 入口網站中查看稽核數據：

• 您應該確認已在 Microsoft Purview 合規性入口網站 中開啟稽核。 如需詳細資訊， 請參閱開啟或關閉稽核。

• 請遵循下列步驟，在 Microsoft Defender 全面偵測回應 入口網站中啟用統一稽核記錄：

  1. 使用已指派安全性系統管理員或 全域管理員 角色的帳戶登入 Microsoft Defender 全面偵測回應。
  2. 在瀏覽窗格中，選取> [設定端點進階>功能]。
  3. 自行捲動至 整合稽核記錄 ，並將設定切換為 [開啟]。

  。選取 [儲存喜好設定]。

在 Microsoft Defender 全面偵測回應 中使用稽核搜尋

1. 若要擷取 Microsoft Defender 全面偵測回應 活動的稽核記錄，請流覽至 [Microsoft Defender 全面偵測回應 稽核] 頁面，或移至 Purview 合規性入口網站，然後選取 [稽核]。

   

2. 在 [新增 搜尋] 頁面上，篩選您想要稽核的活動、日期和使用者。

3. 選取 [搜尋

   

4. 將您的結果匯出至 Excel 以進一步分析。

如需逐步指示，請參閱 搜尋 合規性入口網站中的稽核記錄。

稽核記錄保留是以 Microsoft Purview 保留原則為基礎。 如需詳細資訊，請參閱管理稽核記錄保留原則。

Microsoft Defender 全面偵測回應 活動

如需 Microsoft 365 稽核記錄中 Microsoft Defender 全面偵測回應 中針對使用者和系統管理活動記錄的所有事件清單，請參閱：

• 稽核記錄中 Microsoft Defender 全面偵測回應 中的自定義偵測活動
• 稽核記錄中 Microsoft Defender 全面偵測回應 中的事件活動
• 稽核記錄中 Microsoft Defender 全面偵測回應 中的隱藏規則活動

適用於端點的 Microsoft Defender 活動

如需 Microsoft 365 稽核記錄中 適用於端點的 Microsoft Defender 中針對使用者和系統管理活動所記錄的所有事件清單，請參閱：

• 稽核記錄中適用於端點的Defender中的一般設定活動
• 稽核記錄中適用於端點的Defender中的指標設定活動
• 稽核記錄中適用於端點的Defender中的回應動作活動
• 稽核記錄中適用於端點的Defender中的角色設定活動

使用 PowerShell 腳本

您可以使用下列 PowerShell 代碼段來查詢 Office 365 管理 API，以擷取 Microsoft Defender 全面偵測回應 事件的相關信息：

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

注意事項

如需記錄類型值，請參閱稽核活動中包含的API數據行。

其他資源

• 在合規性中心搜尋稽核記錄
• 使用 PowerShell 指令碼來搜尋稽核記錄
• 稽核記錄中的詳細內容
• 匯出、 設定及檢視稽核記錄檔的記錄
• Office 365 管理活動 API 參考 (英文)