Procurar eventos no Microsoft Defender XDR no registo de auditoria

Aplica-se a:

• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

O registo de auditoria pode ajudá-lo a investigar atividades específicas em todos os serviços do Microsoft 365. No portal do Microsoft Defender XDR, as atividades do Microsoft Defender XDR e do Microsoft Defender para Endpoint são auditadas. Algumas das atividades auditadas são:

• Alterações às definições de retenção de dados
• Alterações às funcionalidades avançadas
• Criação de indicadores de compromisso
• Isolamento de dispositivos
• Adicionar\editar\eliminação de funções de segurança
• Criar\editar regras de deteção personalizadas
• Atribuir um utilizador a incidentes

Para obter uma lista completa das atividades XDR do Microsoft Defender auditadas, veja Atividades XDR do Microsoft Defender e atividades do Microsoft Defender para Endpoint.

Requisitos

Para aceder ao registo de auditoria, tem de ter a função Registos de Auditoria Apenas de Visualização ou Registos de Auditoria no Exchange Online. Por predefinição, essas funções são atribuídas aos grupos de funções Gestão de Conformidade e Gestão da Organização.

Observação

Os administradores globais no Office 365 e Microsoft 365 são automaticamente adicionados como membros do grupo de funções de Gerenciamento da Organização no Exchange Online.

Ativar a auditoria no Microsoft Defender XDR

O Microsoft Defender XDR utiliza a solução de auditoria do Microsoft Purview antes de poder ver os dados de auditoria no portal do Microsoft Defender XDR:

• Deve confirmar que a auditoria está ativada no portal de conformidade do Microsoft Purview. Para obter mais informações, consulte Ativar ou desativar a auditoria.

• Siga os passos abaixo para ativar o registo de auditoria unificado no portal do Microsoft Defender XDR:

  1. Inicie sessão no Microsoft Defender XDR com uma conta com a função Administrador de segurança ou Administrador global atribuída.
  2. No painel de navegação, selecione Definições>Pontos finais Funcionalidades avançadas>.
  3. Desloque-se para o registo de auditoria Unificado e alterne a definição para Ativado.

  4. Selecione Guardar preferências.

Importante

O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários em que não pode utilizar uma função existente. A Microsoft recomenda que você use funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização.

Utilizar a pesquisa de auditoria no Microsoft Defender XDR

1. Para obter registos de auditoria para atividades XDR do Microsoft Defender, navegue para a página Auditoria XDR do Microsoft Defender ou aceda ao portal de conformidade do Purview e selecione Auditoria.

   

2. Na página Nova Pesquisa , filtre as atividades, datas e utilizadores que pretende auditar.

3. Selecione Procurar

   

4. Exporte os resultados para o Excel para análise posterior.

Para obter instruções passo a passo, consulte Pesquisar o registo de auditoria no portal de conformidade.

A retenção do registo de auditoria baseia-se nas políticas de retenção do Microsoft Purview. Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.

Atividades XDR do Microsoft Defender

Para obter uma lista de todos os eventos registados para atividades de utilizadores e administradores no Microsoft Defender XDR no registo de auditoria do Microsoft 365, consulte:

• Atividades de deteção personalizadas no Microsoft Defender XDR no registo de auditoria
• Atividades de incidentes no Microsoft Defender XDR no registo de auditoria
• Atividades de regra de supressão no Microsoft Defender XDR no registo de auditoria

Atividades do Microsoft Defender para Endpoint

Para obter uma lista de todos os eventos registados para atividades de utilizador e administrador no Microsoft Defender para Endpoint no registo de auditoria do Microsoft 365, consulte:

• Atividades de definições gerais no Defender para Endpoint no registo de auditoria
• Atividades de definições de indicador no Defender para Endpoint no registo de auditoria
• Atividades de ação de resposta no Defender para Endpoint no registo de auditoria
• Atividades de definições de funções no Defender para Endpoint no registo de auditoria

Utilizar um script do PowerShell

Pode utilizar o seguinte fragmento de código do PowerShell para consultar a API de Gestão do Office 365 para obter informações sobre eventos XDR do Microsoft Defender:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Observação

Veja a coluna API em Atividades de auditoria incluídas para os valores de tipo de registo.

Recursos adicionais

• Pesquisar o log de auditoria no centro de conformidade
• Usar um script do PowerShell para pesquisar o log de auditoria
• Propriedades detalhadas no log de auditoria
• Exportar, configurar e exibir registros de log de auditoria
• Referência da API da Atividade de Gerenciamento do Office 365