감사 로그에서 Microsoft Defender XDR 이벤트 검색

• 적용 대상:

  Microsoft Defender for Endpoint Plan 2, Microsoft Defender XDR

감사 로그를 사용하면 Microsoft 365 서비스에서 특정 활동을 조사할 수 있습니다. Microsoft Defender 포털에서 Microsoft Defender XDR 및 엔드포인트용 Microsoft Defender 활동이 감사됩니다. 감사되는 활동 중 일부는 다음과 같습니다.

• 데이터 보존 설정 변경
• 고급 기능의 변경 내용
• 손상 지표 만들기
• 디바이스 격리
• 보안 역할 추가\편집\삭제
• 사용자 지정 검색 규칙 만들기\편집
• 인시던트에 사용자 할당

감사되는 Microsoft Defender XDR 활동의 전체 목록은 Microsoft Defender XDR 활동 및 엔드포인트용 Microsoft Defender 활동을 참조하세요.

감사는 Microsoft Defender XDR 대해 자동으로 설정됩니다. 감사되는 기능은 감사 로그에 자동으로 기록됩니다. 감사는 GCC 환경에서 감사 로그를 수집할 수도 있습니다.

필수 구성 요소

감사 로그에 액세스하려면 Exchange Online 보기 전용 감사 로그 또는 감사 로그 역할이 있어야 합니다. 기본적으로 이러한 역할은 규정 준수 관리 및 조직 관리 역할 그룹에 할당됩니다.

참고

Office 365 및 Microsoft 365의 전역 관리자는 자동으로 Exchange Online 서비스에서 조직 관리 역할 그룹의 구성원이 됩니다.

Microsoft Defender XDR Microsoft Purview 감사 솔루션을 사용합니다. Microsoft Defender 포털에서 감사 데이터를 보려면 Microsoft Purview 규정 준수 포털 감사를 켜야 합니다. 자세한 내용은 감사 설정 또는 해제를 참조하세요.

중요

전역 관리자는 기존 역할을 사용할 수 없는 경우 시나리오로 제한해야 하는 높은 권한의 역할입니다. 사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 권한이 낮은 계정을 사용하면 organization 대한 보안을 개선하는 데 도움이 됩니다.

감사 로그 검색

감사 로그를 검색하려면 다음 단계를 수행합니다.

1. Microsoft Defender 포털의 감사 페이지로 이동하거나 Purview 규정 준수 포털로 이동하여 감사를 선택합니다.

   

2. 새 검색 페이지에서 감사하려는 활동, 날짜 및 사용자를 필터링합니다.

3. 검색 선택

   

4. 추가 분석을 위해 결과를 Excel로 내보냅니다.

단계별 지침은 규정 준수 포털에서 감사 로그 검색을 참조하세요.

감사 로그 레코드 보존은 Microsoft Purview 보존 정책을 기반으로 합니다. 자세한 내용은 감사 로그 보존 정책 관리를 참조하십시오.

Microsoft Defender XDR 활동

Microsoft 365 감사 로그의 Microsoft Defender XDR 사용자 및 관리자 활동에 대해 기록되는 모든 이벤트 목록은 다음을 참조하세요.

• 감사 로그의 Microsoft Defender XDR 사용자 지정 검색 활동
• 감사 로그의 Microsoft Defender XDR 인시던트 활동
• 감사 로그의 Microsoft Defender XDR 규칙 활동 표시 안 함

엔드포인트용 Microsoft Defender 활동

Microsoft 365 감사 로그의 엔드포인트용 Microsoft Defender 사용자 및 관리자 활동에 대해 기록되는 모든 이벤트 목록은 다음을 참조하세요.

• 감사 로그의 엔드포인트용 Defender의 일반 설정 작업
• 감사 로그의 엔드포인트용 Defender의 표시기 설정 활동
• 감사 로그의 엔드포인트용 Defender의 응답 작업 작업
• 감사 로그의 엔드포인트용 Defender의 역할 설정 활동

PowerShell 스크립트를 사용하여 이벤트 검색

다음 PowerShell 코드 조각을 사용하여 Office 365 관리 API를 쿼리하여 Microsoft Defender XDR 이벤트에 대한 정보를 검색할 수 있습니다.

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

참고

레코드 형식 값에 포함된 감사 작업의 API 열을 참조하세요.

자세한 내용은 PowerShell 스크립트를 사용하여 감사 로그 검색을 참조하세요.

참고 항목

• 감사 로그의 자세한 속성
• 감사 로그 레코드 내보내기, 구성 및 보기
• Office 365 관리 작업 API 참고자료