Partilhar via

Auditoria

  • Artigo

Aplica-se a:

Como administrador inquilino, pode utilizar o Microsoft Purview para procurar nos registos de auditoria as horas Microsoft Defender Especialistas iniciaram sessão no seu inquilino e as ações que ali realizaram para realizar as respetivas investigações. Também pode procurar nos registos de auditoria as alterações feitas pelos administradores inquilinos às definições de Especialistas do Defender.

A auditoria (Standard) está ativada por predefinição para todos os Especialistas Microsoft Defender para clientes XDR quando são atribuídas licenças pagas ao inquilino. Se tiver uma licença de avaliação, trabalhe com o seu gestor de entrega de serviços para ativar a Auditoria se ainda não o tiver feito.

Nota

Certifique-se de que tem as permissões certas para procurar registos de auditoria.

Pesquisa os registos de auditoria para ações realizadas por Especialistas do Defender

  1. Inicie sessão no Portal de Conformidade do Microsoft Purview para utilizar a nova Pesquisa de Auditoria.
  2. Indique um Intervalo de datas e horas (UTC).
  3. Selecione a Carga de Trabalho e o Tipo de registo na lista apresentada na tabela seguinte para restringir ainda mais a pesquisa.
  4. Selecione Pesquisa para listar os registos de auditoria relacionados com as ações realizadas pelos nossos especialistas no seu inquilino.

Captura de ecrã parcial da página de pesquisa Portal de Conformidade do Microsoft Purview Defender New.

Ação realizada por Especialistas do Defender Carga de trabalho Record type
Iniciar sessão no inquilino do cliente AzureActiveDirectory AzureActiveDirectoryStsLogon
Efetuar alterações a incidentes no portal do Microsoft Defender Microsoft365Defender MS365Dincident
Efetuar alterações às regras de supressão de alertas no portal do Microsoft Defender Microsoft365Defender MS365DSuppressionRule
Efetuar alterações aos indicadores no Microsoft Defender para Endpoint MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
Executar ações de remediação de dispositivos no Microsoft Defender para Endpoint MicrosoftDefenderForEndpoint MSDEResponseActions

Captura de ecrã parcial de um registo de auditoria de exemplo relacionado com Especialistas do Defender.

Pesquisa os registos de auditoria para ações realizadas pelos administradores nas definições de Especialistas do Defender

  1. Inicie sessão no Portal de Conformidade do Microsoft Purview para utilizar a nova Pesquisa de Auditoria.
  2. Indique um Intervalo de datas e horas (UTC).
  3. Em Carga de Trabalho, selecione MicrosoftDefenderExperts.
  4. Selecione Pesquisa para listar os registos de auditoria relacionados com as ações realizadas pelos administradores inquilinos nas definições de Especialistas do Defender.

Captura de ecrã parcial da página de pesquisa Portal de Conformidade do Microsoft Purview Defender Novo a mostrar o campo Carga de Trabalho selecionado para MicrosoftDefenderExperts.

Pesquisa os registos de auditoria com um script do PowerShell

Além de utilizar a funcionalidade Auditar Nova Pesquisa no Portal de Conformidade do Microsoft Purview, pode utilizar cmdlets do PowerShell para procurar registos de auditoria. Saiba mais.

Consulte também

Considerações importantes para especialistas em Microsoft Defender para XDR

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.