Condividi tramite

Controllo

  • Articolo

Si applica a:

In qualità di amministratore del tenant, è possibile usare Microsoft Purview per cercare nei log di controllo i tempi Microsoft Defender esperti che hanno eseguito l'accesso al tenant e le azioni eseguite per eseguire le indagini. È anche possibile cercare nei log di controllo le modifiche apportate dagli amministratori del tenant alle impostazioni di Defender Experts.

Audit (Standard) è attivato per impostazione predefinita per tutti gli esperti Microsoft Defender per i clienti XDR quando le licenze a pagamento vengono assegnate al tenant. Se si dispone di una licenza di valutazione, collaborare con il responsabile recapito del servizio per attivare Audit se non è ancora disponibile.

Nota

Assicurarsi di avere le autorizzazioni appropriate per cercare i log di controllo.

Search i log di controllo per le azioni eseguite da Defender Experts

  1. Accedere alla Portale di conformità di Microsoft Purview per usare Controlla nuovo Search.
  2. Specificare un intervallo di data e ora (UTC).
  3. Selezionare il tipo di carico di lavoro e record nell'elenco illustrato nella tabella seguente per limitare ulteriormente la ricerca.
  4. Selezionare Search per elencare i log di controllo correlati alle azioni eseguite dagli esperti nel tenant.

Screenshot parziale della pagina di ricerca Portale di conformità di Microsoft Purview Defender New.

Azione eseguita da Defender Experts Carico di lavoro Tipo di record
Accedere al tenant del cliente AzureActiveDirectory AzureActiveDirectoryStsLogon
Apportare modifiche agli eventi imprevisti nel portale di Microsoft Defender Microsoft365Defender MS365Dincident
Apportare modifiche alle regole di eliminazione degli avvisi nel portale di Microsoft Defender Microsoft365Defender MS365DSuppressionRule
Apportare modifiche agli indicatori in Microsoft Defender per endpoint MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
Eseguire azioni di correzione dei dispositivi in Microsoft Defender per endpoint MicrosoftDefenderForEndpoint MSDEResponseActions

Screenshot parziale di un log di controllo di esempio correlato a Defender Experts.

Search i log di controllo per le azioni eseguite dagli amministratori nelle impostazioni di Defender Experts

  1. Accedere alla Portale di conformità di Microsoft Purview per usare Controlla nuovo Search.
  2. Specificare un intervallo di data e ora (UTC).
  3. In Carico di lavoro scegliere MicrosoftDefenderExperts.
  4. Selezionare Search per elencare i log di controllo correlati alle azioni eseguite dagli amministratori del tenant nelle impostazioni di Defender Experts.

Screenshot parziale della pagina di ricerca Portale di conformità di Microsoft Purview Defender New che mostra il campo Carico di lavoro selezionato in MicrosoftDefenderExperts.

Search i log di controllo usando uno script di PowerShell

Oltre a usare Audit New Search nel Portale di conformità di Microsoft Purview, è possibile usare i cmdlet di PowerShell per cercare i log di controllo. Altre informazioni.

Vedere anche

Considerazioni importanti per Microsoft Defender Esperti per XDR

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.