Busque eventos en el registro de auditoría en Microsoft Defender XDR
El registro de auditoría le ayuda a investigar actividades específicas en los servicios de Microsoft 365. En el portal de Microsoft Defender, se auditan las actividades Microsoft Defender XDR y Microsoft Defender para punto de conexión. Algunas de las actividades auditadas son:
- Cambios en la configuración de retención de datos
- Cambios en las características avanzadas
- Creación de indicadores de riesgo
- Aislamiento de dispositivos
- Adición\edición\eliminación de roles de seguridad
- Crear o editar reglas de detección personalizadas
- Asignación de un usuario a un incidente
Para obtener una lista completa de las actividades de Microsoft Defender XDR auditadas, consulte Microsoft Defender XDR actividades y actividades de Microsoft Defender para punto de conexión.
La auditoría se activa automáticamente para Microsoft Defender XDR. Las características auditadas se registran automáticamente en el registro de auditoría. La auditoría también puede recopilar registros de auditoría de entornos GCC.
Requisitos previos
Para acceder al registro de auditoría, debe tener el rol Registros de auditoría de solo vista o Registros de auditoría en Exchange Online. De forma predeterminada, esos roles se asignan a los grupos de roles Administración de cumplimiento y Administración de la organización.
Nota:
Los administradores globales de Office 365 y Microsoft 365 se agregan automáticamente como miembros del grupo de roles de administración de la organización en Exchange Online.
Microsoft Defender XDR usa la solución de auditoría de Microsoft Purview. Para poder ver los datos de auditoría en el portal de Microsoft Defender, debe activar la auditoría en el portal de cumplimiento Microsoft Purview. Para obtener más información, vea Activar o desactivar la auditoría.
Importante
Administrador global es un rol con privilegios elevados que debe limitarse a escenarios en los que no se puede usar un rol existente. Microsoft recomienda utilizar roles con la menor cantidad de permisos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización.
Búsquedas en el registro de auditoría
Siga estos pasos para buscar en el registro de auditoría:
Vaya a la página Auditoría del portal de Microsoft Defender o vaya al portal de cumplimiento de Purview y seleccione Auditar.
En la página Nueva búsqueda , filtre las actividades, las fechas y los usuarios que desea auditar.
Seleccione Buscar.
Exporte los resultados a Excel para un análisis más exhaustivo.
Para obtener instrucciones paso a paso, consulte Búsqueda en el registro de auditoría en el portal de cumplimiento.
La retención de registros de auditoría se basa en las directivas de retención de Microsoft Purview. Para obtener más información, vea administrar directivas de retención de los registros de auditoría.
actividades de Microsoft Defender XDR
Para obtener una lista de todos los eventos registrados para las actividades de usuario y administrador en Microsoft Defender XDR en el registro de auditoría de Microsoft 365, consulte:
- Actividades de detección personalizadas en Microsoft Defender XDR en el registro de auditoría
- Actividades de incidentes en Microsoft Defender XDR en el registro de auditoría
- Actividades de regla de supresión en Microsoft Defender XDR en el registro de auditoría
actividades de Microsoft Defender para punto de conexión
Para obtener una lista de todos los eventos que se registran para las actividades de usuario y administrador en Microsoft Defender para punto de conexión en el registro de auditoría de Microsoft 365, consulte:
- Actividades de configuración general en Defender para punto de conexión en el registro de auditoría
- Actividades de configuración de indicadores en Defender para punto de conexión en el registro de auditoría
- Actividades de acción de respuesta en Defender para punto de conexión en el registro de auditoría
- Actividades de configuración de roles en Defender para punto de conexión en el registro de auditoría
Búsqueda de eventos mediante un script de PowerShell
Puede usar el siguiente fragmento de código de PowerShell para consultar la API de administración de Office 365 para recuperar información sobre los eventos de Microsoft Defender XDR:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
Nota:
Consulte la columna API en Actividades de auditoría incluidas para conocer los valores de tipo de registro.
Para obtener más información, consulte Uso de un script de PowerShell para buscar en el registro de auditoría.