Compartilhar via

Auditoria

  • Artigo

Aplica-se a:

Como administrador inquilino, pode utilizar o Microsoft Purview para procurar nos registos de auditoria as horas Microsoft Defender Especialistas iniciaram sessão no seu inquilino e as ações que ali realizaram para realizar as respetivas investigações. Também pode procurar nos registos de auditoria as alterações feitas pelos administradores inquilinos às definições de Especialistas do Defender.

A auditoria é ativada automaticamente no portal do Microsoft Defender. As funcionalidades auditadas são registadas automaticamente no registo de auditoria. A auditoria também pode recolher registos de auditoria de ambientes GCC.

Observação

Certifique-se de que tem as permissões certas para procurar registos de auditoria.

Procurar nos registos de auditoria ações realizadas por Especialistas do Defender

  1. Inicie sessão no portal de conformidade do Microsoft Purview para utilizar a Nova Pesquisa de Auditoria.
  2. Indique um Intervalo de datas e horas (UTC).
  3. Selecione a Carga de Trabalho e o Tipo de registo na lista apresentada na tabela seguinte para restringir ainda mais a pesquisa.
  4. Selecione Procurar para listar os registos de auditoria relacionados com as ações realizadas pelos nossos especialistas no seu inquilino.

Captura de ecrã parcial da página de pesquisa portal de conformidade do Microsoft Purview Defender New.

Ação realizada por Especialistas do Defender Workload Tipo de registro
Iniciar sessão no inquilino do cliente AzureActiveDirectory AzureActiveDirectoryStsLogon
Efetuar alterações a incidentes no portal do Microsoft Defender Microsoft365Defender MS365Dincident
Efetuar alterações às regras de supressão de alertas no portal do Microsoft Defender Microsoft365Defender MS365DSuppressionRule
Efetuar alterações aos indicadores no Microsoft Defender para Ponto de Extremidade MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
Executar ações de remediação de dispositivos no Microsoft Defender para Ponto de Extremidade MicrosoftDefenderForEndpoint MSDEResponseActions

Captura de ecrã parcial de um registo de auditoria de exemplo relacionado com Especialistas do Defender.

Procure nos registos de auditoria ações executadas pelos administradores nas definições de Especialistas do Defender

  1. Inicie sessão no portal de conformidade do Microsoft Purview para utilizar a Nova Pesquisa de Auditoria.
  2. Indique um Intervalo de datas e horas (UTC).
  3. Em Carga de Trabalho, selecione MicrosoftDefenderExperts.
  4. Selecione Procurar para listar os registos de auditoria relacionados com as ações realizadas pelos administradores inquilinos nas definições de Especialistas do Defender.

Captura de ecrã parcial da página de pesquisa portal de conformidade do Microsoft Purview Defender Novo a mostrar o campo Carga de Trabalho selecionado para MicrosoftDefenderExperts.

Pesquisar os registos de auditoria com um script do PowerShell

Além de utilizar Auditar Nova Pesquisa no portal de conformidade do Microsoft Purview, pode utilizar cmdlets do PowerShell para procurar registos de auditoria. Saiba mais.

Confira também

Considerações importantes para Especialistas do Microsoft Defender para XDR

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.