Procurar eventos no registo de auditoria no Microsoft Defender XDR
O registo de auditoria ajuda-o a investigar atividades específicas em todos os serviços do Microsoft 365. No portal Microsoft Defender, são auditadas as atividades Microsoft Defender XDR e Microsoft Defender para Ponto de Extremidade. Algumas das atividades auditadas são:
- Alterações às definições de retenção de dados
- Alterações às funcionalidades avançadas
- Criação de indicadores de compromisso
- Isolamento de dispositivos
- Adicionar\editar\eliminação de funções de segurança
- Criar\editar regras de deteção personalizadas
- Atribuir um utilizador a incidentes
Para obter uma lista completa das atividades Microsoft Defender XDR auditadas, veja atividades de Microsoft Defender XDR e atividades de Microsoft Defender para Ponto de Extremidade.
A auditoria é ativada automaticamente para Microsoft Defender XDR. As funcionalidades auditadas são registadas automaticamente no registo de auditoria. A auditoria também pode recolher registos de auditoria de ambientes GCC.
Pré-requisitos
Para aceder ao registo de auditoria, tem de ter a função Registos de Auditoria Apenas de Visualização ou Registos de Auditoria no Exchange Online. Por predefinição, essas funções são atribuídas aos grupos de funções Gestão de Conformidade e Gestão da Organização.
Observação
Os administradores globais no Office 365 e Microsoft 365 são automaticamente adicionados como membros do grupo de funções de Gerenciamento da Organização no Exchange Online.
Microsoft Defender XDR utiliza a solução de auditoria do Microsoft Purview. Antes de poder ver os dados de auditoria no portal do Microsoft Defender, tem de ativar a auditoria no portal de conformidade do Microsoft Purview. Para obter mais informações, consulte Ativar ou desativar a auditoria.
Importante
O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários em que não pode utilizar uma função existente. A Microsoft recomenda que você use funções com o menor número de permissões. Utilizar contas com permissões mais baixas ajuda a melhorar a segurança da sua organização.
Pesquisar o log de auditoria
Siga estes passos para procurar no registo de auditoria:
Navegue para a página Auditoria do portal Microsoft Defender ou aceda ao portal de conformidade do Purview e selecione Auditoria.
Na página Nova Pesquisa , filtre as atividades, datas e utilizadores que pretende auditar.
Selecione Procurar
Exporte os resultados para o Excel para análise posterior.
Para obter instruções passo a passo, consulte Pesquisar o registo de auditoria no portal de conformidade.
A retenção do registo de auditoria baseia-se nas políticas de retenção do Microsoft Purview. Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.
atividades de Microsoft Defender XDR
Para obter uma lista de todos os eventos registados para atividades de utilizador e administrador no Microsoft Defender XDR no registo de auditoria do Microsoft 365, consulte:
- Atividades de deteção personalizadas no Microsoft Defender XDR no registo de auditoria
- Atividades de incidentes no Microsoft Defender XDR no registo de auditoria
- Atividades de regra de supressão no Microsoft Defender XDR no registo de auditoria
atividades de Microsoft Defender para Ponto de Extremidade
Para obter uma lista de todos os eventos registados para atividades de utilizador e administrador no Microsoft Defender para Ponto de Extremidade no registo de auditoria do Microsoft 365, consulte:
- Atividades de definições gerais no Defender para Endpoint no registo de auditoria
- Atividades de definições de indicador no Defender para Endpoint no registo de auditoria
- Atividades de ação de resposta no Defender para Endpoint no registo de auditoria
- Atividades de definições de funções no Defender para Endpoint no registo de auditoria
Procurar eventos com um script do PowerShell
Pode utilizar o seguinte fragmento de código do PowerShell para consultar a API de Gestão de Office 365 para obter informações sobre Microsoft Defender XDR eventos:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
Observação
Veja a coluna API em Atividades de auditoria incluídas para os valores de tipo de registo.
Para obter mais informações, veja Utilizar um script do PowerShell para procurar no registo de auditoria