Partager via

Audit

  • Article

S’applique à :

En tant qu’administrateur de locataire, vous pouvez utiliser Microsoft Purview pour rechercher dans les journaux d’audit les heures Microsoft Defender experts se sont connectés à votre locataire et les actions qu’ils y ont effectuées pour effectuer leurs investigations. Vous pouvez également rechercher dans les journaux d’audit les modifications apportées par vos administrateurs de locataire aux paramètres Defender Experts.

L’audit est automatiquement activé dans le portail Microsoft Defender. Les fonctionnalités auditées sont automatiquement enregistrées dans le journal d’audit. L’audit peut également collecter les journaux d’audit des environnements GCC.

Remarque

Vérifiez que vous disposez des autorisations appropriées pour rechercher des journaux d’audit.

Rechercher dans les journaux d’audit les actions effectuées par les experts Defender

  1. Connectez-vous au portail de conformité Microsoft Purview pour utiliser AuditEr la nouvelle recherche.
  2. Indiquez une plage de dates et d’heures (UTC).
  3. Sélectionnez la charge de travail et le type d’enregistrement dans la liste indiquée dans le tableau suivant pour affiner davantage votre recherche.
  4. Sélectionnez Rechercher pour répertorier les journaux d’audit liés aux actions effectuées par nos experts dans votre locataire.

Capture d’écran partielle de portail de conformité Microsoft Purview page de recherche de Defender.

Action effectuée par les experts Defender Charge de travail Type d’enregistrement
Se connecter au locataire du client AzureActiveDirectory AzureActiveDirectoryStsLogon
Apporter des modifications aux incidents dans Microsoft Defender portail Microsoft365Defender MS365Dincident
Apporter des modifications aux règles de suppression des alertes dans Microsoft Defender portail Microsoft365Defender MS365DSuppressionRule
Apporter des modifications aux indicateurs dans Microsoft Defender pour point de terminaison MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
Effectuer des actions de correction d’appareil dans Microsoft Defender pour point de terminaison MicrosoftDefenderForEndpoint MSDEResponseActions

Capture d’écran partielle d’un exemple de journal d’audit lié à Defender Experts.

Rechercher dans les journaux d’audit les actions effectuées par vos administrateurs dans les paramètres Defender Experts

  1. Connectez-vous au portail de conformité Microsoft Purview pour utiliser AuditEr la nouvelle recherche.
  2. Indiquez une plage de dates et d’heures (UTC).
  3. Sous Charge de travail, choisissez MicrosoftDefenderExperts.
  4. Sélectionnez Rechercher pour répertorier les journaux d’audit liés aux actions effectuées par vos administrateurs de locataire dans les paramètres Defender Experts.

Capture d’écran partielle de portail de conformité Microsoft Purview page de recherche Defender montrant le champ Charge de travail sélectionné sur MicrosoftDefenderExperts.

Rechercher dans les journaux d’audit à l’aide d’un script PowerShell

En plus d’utiliser Audit New Search dans le portail de conformité Microsoft Purview, vous pouvez utiliser des applets de commande PowerShell pour rechercher des journaux d’audit. En savoir plus.

Voir aussi

Considérations importantes pour Microsoft Defender Experts pour XDR

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.