Rechercher des événements dans le journal d’audit dans Microsoft Defender XDR

• S’applique à:

  Microsoft Defender for Endpoint Plan 2, Microsoft Defender XDR

Le journal d’audit vous permet d’examiner des activités spécifiques dans les services Microsoft 365. Dans le portail Microsoft Defender, les activités Microsoft Defender XDR et Microsoft Defender pour point de terminaison sont auditées. Voici quelques-unes des activités auditées :

• Modifications apportées aux paramètres de rétention des données
• Modifications apportées aux fonctionnalités avancées
• Création d’indicateurs de compromission
• Isolation des appareils
• Ajouter\modifier\supprimer des rôles de sécurité
• Créer/modifier des règles de détection personnalisées
• Affecter un utilisateur à un incident

Pour obtenir la liste complète des activités Microsoft Defender XDR auditées, consultez activités Microsoft Defender XDR et activités Microsoft Defender pour point de terminaison.

L’audit est automatiquement activé pour Microsoft Defender XDR. Les fonctionnalités auditées sont automatiquement enregistrées dans le journal d’audit. L’audit peut également collecter les journaux d’audit des environnements GCC.

Configuration requise

Pour accéder au journal d’audit, vous devez disposer du rôle Afficher uniquement les journaux d’audit ou journaux d’audit dans Exchange Online. Par défaut, ces rôles sont attribués aux groupes de rôles Gestion de la conformité et Gestion de l’organisation.

Remarque

Les administrateurs globaux dans votre client Office 365 et Microsoft 365 sont automatiquement des membres du groupe de rôle Gestion de l'organisation dans Exchange Online.

Microsoft Defender XDR utilise la solution d’audit Microsoft Purview. Avant de pouvoir examiner les données d’audit dans le portail Microsoft Defender, vous devez activer l’audit dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Activer ou désactiver l’audit.

Importante

Administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios où vous ne pouvez pas utiliser un rôle existant. Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. L’utilisation de comptes avec des autorisations inférieures permet d’améliorer la sécurité de vos organization.

Effectuer une recherche dans le journal d’audit

Pour effectuer une recherche dans le journal d’audit, procédez comme suit :

1. Accédez à la page Audit du portail Microsoft Defender ou accédez au portail de conformité Purview et sélectionnez Audit.

   

2. Dans la page Nouvelle recherche , filtrez les activités, les dates et les utilisateurs que vous souhaitez auditer.

3. Sélectionnez Rechercher

   

4. Exportez vos résultats vers Excel en vue d’une analyse plus approfondie.

Pour obtenir des instructions pas à pas, consultez Rechercher dans le journal d’audit dans le portail de conformité.

La rétention des enregistrements du journal d’audit est basée sur les stratégies de rétention Microsoft Purview. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.

activités Microsoft Defender XDR

Pour obtenir la liste de tous les événements enregistrés pour les activités des utilisateurs et des administrateurs dans Microsoft Defender XDR dans le journal d’audit Microsoft 365, consultez :

• Activités de détection personnalisées dans Microsoft Defender XDR dans le journal d’audit
• Activités d’incident dans Microsoft Defender XDR dans le journal d’audit
• Activités de règle de suppression dans Microsoft Defender XDR dans le journal d’audit

activités Microsoft Defender pour point de terminaison

Pour obtenir la liste de tous les événements enregistrés pour les activités des utilisateurs et des administrateurs dans Microsoft Defender pour point de terminaison dans le journal d’audit Microsoft 365, consultez :

• Activités des paramètres généraux dans Defender pour point de terminaison dans le journal d’audit
• Activités des paramètres d’indicateur dans Defender pour point de terminaison dans le journal d’audit
• Activités d’action de réponse dans Defender pour point de terminaison dans le journal d’audit
• Activités des paramètres de rôles dans Defender pour point de terminaison dans le journal d’audit

Rechercher des événements à l’aide d’un script PowerShell

Vous pouvez utiliser l’extrait de code PowerShell suivant pour interroger l’API de gestion Office 365 afin de récupérer des informations sur les événements Microsoft Defender XDR :

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Remarque

Consultez la colonne API dans Activités d’audit incluses pour connaître les valeurs de type d’enregistrement.

Pour plus d’informations, consultez Utiliser un script PowerShell pour rechercher dans le journal d’audit.

Voir aussi

• Propriétés détaillées dans le journal d’audit
• Exporter, configurer et afficher des enregistrements du journal d’audit
• Référence de l’API Activité de gestion Office 365