監査
適用対象:
テナント管理者は、Microsoft Purview を使用して、エキスパートがテナントにサインインMicrosoft Defender時間と、調査を実行するために行ったアクションについて監査ログを検索できます。 また、テナント管理者が Defender Experts 設定に対して行った変更を監査ログで検索することもできます。
監査は、Microsoft Defender ポータルで自動的にオンになります。 監査された機能は、監査ログに自動的に記録されます。 監査では、GCC 環境から監査ログを収集することもできます。
注:
監査ログを検索するための適切な アクセス許可 があることを確認します。
Defender Experts によって実行されたアクションの監査ログを検索する
- 新しい検索の監査を使用するには、Microsoft Purview コンプライアンス ポータルにサインインします。
- 日付と時刻の範囲 (UTC) を指定します。
- 次の表に示す一覧から [ ワークロード ] と [ レコードの種類 ] を選択して、検索をさらに絞り込みます。
- [ 検索 ] を選択して、テナント内のエキスパートが実行したアクションに関連する監査ログを一覧表示します。
| Defender Experts によって実行されるアクション | Workload | レコードの種類 |
|---|---|---|
| 顧客テナントにサインインする | AzureActiveDirectory | AzureActiveDirectoryStsLogon |
| ポータルでインシデントを変更Microsoft Defender | Microsoft365Defender | MS365Dincident |
| ポータルでアラート抑制ルールを変更Microsoft Defender | Microsoft365Defender | MS365DSuppressionRule |
| Microsoft Defender for Endpointのインジケーターに変更を加える | MicrosoftDefenderForEndpoint | MSDEIndicatorsSettings |
| Microsoft Defender for Endpointでデバイスの修復アクションを実行する | MicrosoftDefenderForEndpoint | MSDEResponseActions |
Defender Experts 設定で管理者が実行したアクションを監査ログで検索する
- 新しい検索の監査を使用するには、Microsoft Purview コンプライアンス ポータルにサインインします。
- 日付と時刻の範囲 (UTC) を指定します。
- [ ワークロード] で、[ MicrosoftDefenderExperts] を選択します。
- [ 検索 ] を選択して、テナント管理者が Defender Experts 設定に対して実行したアクションに関連する監査ログを一覧表示します。
![MicrosoftDefenderExperts Microsoft Purview コンプライアンス ポータル選択された [ワークロード] フィールドを示す [Defender New search] ページの部分的なスクリーンショット。](/ja-jp/defender/media/xdr/audit-3.png#lightbox)
PowerShell スクリプトを使用して監査ログを検索する
Microsoft Purview コンプライアンス ポータルで新しい検索の監査を使用するだけでなく、PowerShell コマンドレットを使用して監査ログを検索することもできます。 詳細情報 を参照してください。
関連項目
Microsoft Defender Experts for XDRに関する重要な考慮事項
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。