Compartir a través de

Auditoría

  • Artículo

Se aplica a:

Como administrador de inquilinos, puede usar Microsoft Purview para buscar en los registros de auditoría las horas Microsoft Defender que los expertos iniciaron sesión en el inquilino y las acciones que realizaron allí para realizar sus investigaciones. También puede buscar en los registros de auditoría los cambios realizados por los administradores de inquilinos en la configuración de Expertos de Defender.

La auditoría se activa automáticamente en el portal de Microsoft Defender. Las características auditadas se registran automáticamente en el registro de auditoría. La auditoría también puede recopilar registros de auditoría de entornos GCC.

Nota:

Asegúrese de que tiene los permisos adecuados para buscar registros de auditoría.

Buscar en los registros de auditoría las acciones realizadas por expertos de Defender

  1. Inicie sesión en el portal de cumplimiento Microsoft Purview para usar Audit New Search.
  2. Proporcione un intervalo de fecha y hora (UTC).
  3. Seleccione la carga de trabajo y el tipo de registro en la lista que se muestra en la tabla siguiente para restringir aún más la búsqueda.
  4. Seleccione Buscar para enumerar los registros de auditoría relacionados con las acciones realizadas por nuestros expertos en el inquilino.

Captura de pantalla parcial de portal de cumplimiento Microsoft Purview página de búsqueda Nueva de Defender.

Acción realizada por expertos de Defender Carga de trabajo Tipo de registro
Inicio de sesión en el inquilino del cliente AzureActiveDirectory AzureActiveDirectoryStsLogon
Realizar cambios en incidentes en Microsoft Defender portal Microsoft365Defender MS365Dincident
Realizar cambios en las reglas de supresión de alertas en Microsoft Defender portal Microsoft365Defender MS365DSuppressionRule
Realizar cambios en los indicadores en Microsoft Defender para punto de conexión MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
Realizar acciones de corrección de dispositivos en Microsoft Defender para punto de conexión MicrosoftDefenderForEndpoint MSDEResponseActions

Captura de pantalla parcial de un registro de auditoría de ejemplo relacionado con expertos de Defender.

Busque en los registros de auditoría las acciones realizadas por los administradores en la configuración de Expertos de Defender.

  1. Inicie sesión en el portal de cumplimiento Microsoft Purview para usar Audit New Search.
  2. Proporcione un intervalo de fecha y hora (UTC).
  3. En Carga de trabajo, elija MicrosoftDefenderExperts.
  4. Seleccione Buscar para mostrar los registros de auditoría relacionados con las acciones realizadas por los administradores de inquilinos en la configuración de Expertos de Defender.

Captura de pantalla parcial de portal de cumplimiento Microsoft Purview página de búsqueda Nueva de Defender que muestra el campo Carga de trabajo seleccionado para MicrosoftDefenderExperts.

Búsqueda en los registros de auditoría mediante un script de PowerShell

Además de usar Audit New Search en el portal de cumplimiento Microsoft Purview, puede usar cmdlets de PowerShell para buscar registros de auditoría. Más información.

Recursos adicionales

Consideraciones importantes para Expertos de Microsoft Defender para XDR

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.