搜尋 中事件的稽核記錄 Microsoft Defender 全面偵測回應
適用於:
稽核記錄可協助您調查整個 Microsoft 365 服務的特定活動。 在 Microsoft Defender 全面偵測回應 入口網站中,會稽核 Microsoft Defender 全面偵測回應 和 適用於端點的 Microsoft Defender 活動。 稽核的一些活動包括:
- 數據保留設定的變更
- 進階功能的變更
- 建立入侵指標
- 隔離裝置
- 新增\edit\deletion 安全性角色
- Create\編輯自定義偵測規則
- 將使用者指派給事件
如需已稽核 Microsoft Defender 全面偵測回應 活動的完整清單,請參閱 Microsoft Defender 全面偵測回應 活動和 適用於端點的 Microsoft Defender 活動。
需求
若要存取稽核記錄,您必須在 Exchange Online 中具有僅限檢視稽核記錄或稽核記錄角色。 根據預設,這些角色會指派給合規性管理和組織管理角色群組。
注意事項
系統會將 Office 365 和 Microsoft 365 中的全域系統管理員自動新增為 Exchange Online 中 [組織管理] 角色群組的成員。
在 Microsoft Defender 全面偵測回應 中開啟稽核
Microsoft Defender 全面偵測回應 使用 Microsoft Purview 稽核解決方案,然後才能在 Microsoft Defender 全面偵測回應 入口網站中查看稽核數據:
您應該確認已在 Microsoft Purview 合規性入口網站 中開啟稽核。 如需詳細資訊, 請參閱開啟或關閉稽核。
請遵循下列步驟,在 Microsoft Defender 全面偵測回應 入口網站中啟用統一稽核記錄:
- 使用已指派安全性系統管理員或 全域管理員 角色的帳戶登入 Microsoft Defender 全面偵測回應。
- 在瀏覽窗格中,選取> [設定端點進階>功能]。
- 自行捲動至 整合稽核記錄 ,並將設定切換為 [開啟]。
在 Microsoft Defender 全面偵測回應 中使用稽核搜尋
若要擷取 Microsoft Defender 全面偵測回應 活動的稽核記錄,請流覽至 [Microsoft Defender 全面偵測回應 稽核] 頁面,或移至 Purview 合規性入口網站,然後選取 [稽核]。
在 [新增 搜尋] 頁面上,篩選您想要稽核的活動、日期和使用者。
選取 [搜尋
將您的結果匯出至 Excel 以進一步分析。
如需逐步指示,請參閱 搜尋 合規性入口網站中的稽核記錄。
稽核記錄保留是以 Microsoft Purview 保留原則為基礎。 如需詳細資訊,請參閱管理稽核記錄保留原則。
Microsoft Defender 全面偵測回應 活動
如需 Microsoft 365 稽核記錄中 Microsoft Defender 全面偵測回應 中針對使用者和系統管理活動記錄的所有事件清單,請參閱:
- 稽核記錄中 Microsoft Defender 全面偵測回應 中的自定義偵測活動
- 稽核記錄中 Microsoft Defender 全面偵測回應 中的事件活動
- 稽核記錄中 Microsoft Defender 全面偵測回應 中的隱藏規則活動
適用於端點的 Microsoft Defender 活動
如需 Microsoft 365 稽核記錄中 適用於端點的 Microsoft Defender 中針對使用者和系統管理活動所記錄的所有事件清單,請參閱:
- 稽核記錄中適用於端點的Defender中的一般設定活動
- 稽核記錄中適用於端點的Defender中的指標設定活動
- 稽核記錄中適用於端點的Defender中的回應動作活動
- 稽核記錄中適用於端點的Defender中的角色設定活動
使用 PowerShell 腳本
您可以使用下列 PowerShell 代碼段來查詢 Office 365 管理 API,以擷取 Microsoft Defender 全面偵測回應 事件的相關信息:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
注意事項
如需記錄類型值,請參閱稽核活動中包含的API數據行。
其他資源
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應