Freigeben über

Überwachung

  • Artikel

Gilt für:

Als Mandantenadministrator können Sie Microsoft Purview verwenden, um die Überwachungsprotokolle nach den Zeiten zu durchsuchen, Microsoft Defender Experten sich bei Ihrem Mandanten angemeldet haben, und nach den Aktionen, die sie dort ausgeführt haben, um ihre Untersuchungen durchzuführen. Sie können auch die Überwachungsprotokolle nach den Änderungen durchsuchen, die von Ihren Mandantenadministratoren an den Defender Experts-Einstellungen vorgenommen wurden.

Die Überwachung wird im Microsoft Defender-Portal automatisch aktiviert. Überwachte Features werden automatisch im Überwachungsprotokoll protokolliert. Die Überwachung kann auch Überwachungsprotokolle aus GCC-Umgebungen sammeln.

Hinweis

Stellen Sie sicher, dass Sie über die richtigen Berechtigungen zum Suchen nach Überwachungsprotokollen verfügen.

Durchsuchen der Überwachungsprotokolle nach Aktionen, die von Defender Experts ausgeführt werden

  1. Melden Sie sich beim Microsoft Purview-Complianceportal an, um Die neue Suche überwachen zu verwenden.
  2. Geben Sie einen Datums- und Uhrzeitbereich (UTC) an.
  3. Wählen Sie den Workload - und Datensatztyp aus der liste aus, die in der folgenden Tabelle angezeigt wird, um Ihre Suche weiter einzugrenzen.
  4. Wählen Sie Suchen aus, um die Überwachungsprotokolle im Zusammenhang mit den Aktionen aufzulisten, die von unseren Experten in Ihrem Mandanten ausgeführt wurden.

Teilscreenshot der Seite

Von Defender-Experten ausgeführte Aktion Arbeitslast Eintragstyp
Anmelden beim Kundenmandanten AzureActiveDirectory AzureActiveDirectoryStsLogon
Vornehmen von Änderungen an Incidents in Microsoft Defender Portal Microsoft365Defender MS365Dincident
Änderungen an Warnungsunterdrückungsregeln in Microsoft Defender Portal vornehmen Microsoft365Defender MS365DSuppressionRule
Änderungen an Indikatoren in Microsoft Defender for Endpoint MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
Ausführen von Gerätewartungsaktionen in Microsoft Defender for Endpoint MicrosoftDefenderForEndpoint MSDEResponseActions

Teilscreenshot eines Beispielüberwachungsprotokolls im Zusammenhang mit Defender Experts.

Durchsuchen Sie die Überwachungsprotokolle nach Aktionen, die von Ihren Administratoren in den Defender Experts-Einstellungen ausgeführt werden.

  1. Melden Sie sich beim Microsoft Purview-Complianceportal an, um Die neue Suche überwachen zu verwenden.
  2. Geben Sie einen Datums- und Uhrzeitbereich (UTC) an.
  3. Wählen Sie unter Workload die Option MicrosoftDefenderExperts aus.
  4. Wählen Sie Suchen aus, um die Überwachungsprotokolle im Zusammenhang mit aktionen aufzulisten, die von Ihren Mandantenadministratoren in den Defender Experts-Einstellungen ausgeführt werden.

Teilscreenshot der Seite

Durchsuchen der Überwachungsprotokolle mithilfe eines PowerShell-Skripts

Zusätzlich zur Verwendung der neuen Suche überwachen im Microsoft Purview-Complianceportal können Sie PowerShell-Cmdlets verwenden, um nach Überwachungsprotokollen zu suchen. Weitere Informationen.

Siehe auch

Wichtige Überlegungen zu Microsoft Defender Experts for XDR

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.