Condividi tramite


Cercare eventi nel log di controllo in Microsoft Defender XDR

Il log di controllo consente di analizzare attività specifiche nei servizi di Microsoft 365. Nel portale di Microsoft Defender vengono controllate le attività Microsoft Defender XDR e Microsoft Defender per endpoint. Alcune delle attività controllate sono:

  • Modifiche alle impostazioni di conservazione dei dati
  • Modifiche alle funzionalità avanzate
  • Creazione di indicatori di compromissione
  • Isolamento dei dispositivi
  • Aggiungere\modificare\eliminare ruoli di sicurezza
  • Creare\modificare regole di rilevamento personalizzate
  • Assegnare l'utente a un evento imprevisto

Per un elenco completo delle attività Microsoft Defender XDR controllate, vedere attività di Microsoft Defender XDR e attività Microsoft Defender per endpoint.

Il controllo viene attivato automaticamente per Microsoft Defender XDR. Le funzionalità controllate vengono registrate automaticamente nel log di controllo. Il controllo può anche raccogliere i log di controllo dagli ambienti GCC.

Prerequisiti

Per accedere al log di controllo, è necessario avere il ruolo Log di controllo di sola visualizzazione o Log di controllo in Exchange Online. Per impostazione predefinita, tali ruoli vengono assegnati ai gruppi di ruoli Gestione conformità e Gestione organizzazione.

Nota

Gli amministratori globali di Office 365 e Microsoft 365 vengono aggiunti automaticamente come membri del gruppo di ruoli Gestione organizzazione in Exchange Online.

Microsoft Defender XDR usa la soluzione di controllo Microsoft Purview. Prima di esaminare i dati di controllo nel portale di Microsoft Defender, è necessario attivare il controllo nel Portale di conformità di Microsoft Purview. Per altre informazioni, vedere Attivare o disattivare il controllo.

Importante

Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari in cui non è possibile usare un ruolo esistente. Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione.

Eseguire ricerche nel log di controllo

Seguire questa procedura per eseguire una ricerca nel log di controllo:

  1. Passare alla pagina Controllo del portale di Microsoft Defender oppure passare al portale di conformità Purview e selezionare Controlla.

    Screenshot della pagina del log di controllo unificato in Microsoft Defender XDR

  2. Nella pagina Nuova ricerca filtrare le attività, le date e gli utenti da controllare.

  3. Selezionare Cerca

    Screenshot delle opzioni di ricerca del log di controllo unificato in Microsoft Defender XDR

  4. Esportare i risultati in Excel per un'ulteriore analisi.

Per istruzioni dettagliate, vedere Cercare il log di controllo nel portale di conformità.

La conservazione dei record del log di controllo si basa sui criteri di conservazione di Microsoft Purview. Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo.

attività Microsoft Defender XDR

Per un elenco di tutti gli eventi registrati per le attività utente e amministratore in Microsoft Defender XDR nel log di controllo di Microsoft 365, vedere:

attività Microsoft Defender per endpoint

Per un elenco di tutti gli eventi registrati per le attività utente e amministratore in Microsoft Defender per endpoint nel log di controllo di Microsoft 365, vedere:

Cercare eventi usando uno script di PowerShell

È possibile usare il frammento di codice di PowerShell seguente per eseguire una query sull'API di gestione Office 365 per recuperare informazioni sugli eventi di Microsoft Defender XDR:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Nota

Vedere la colonna API in Attività di controllo incluse per i valori del tipo di record.

Per altre informazioni, vedere Usare uno script di PowerShell per eseguire ricerche nel log di controllo

Vedere anche