Поделиться через

Аудит

  • Статья

Область применения:

Администратор клиента может использовать Microsoft Purview для поиска в журналах аудита времени входа Microsoft Defender экспертов в клиент и действий, которые они выполнили для выполнения своих исследований. Вы также можете найти в журналах аудита изменения, внесенные администраторами клиентов в параметры экспертов Defender.

Аудит автоматически включается на портале Microsoft Defender. Функции, для которых выполняется аудит, автоматически регистрируются в журнале аудита. Аудит также может собирать журналы аудита из сред GCC.

Примечание.

Убедитесь, что у вас есть необходимые разрешения для поиска журналов аудита.

Поиск действий, выполняемых экспертами Defender в журналах аудита

  1. Войдите в Портал соответствия требованиям Microsoft Purview, чтобы использовать аудит нового поиска.
  2. Укажите диапазон даты и времени (UTC).
  3. Выберите тип рабочей нагрузки и записи в списке, приведенном в следующей таблице, чтобы еще больше сузить поиск.
  4. Выберите Поиск , чтобы получить список журналов аудита, связанных с действиями, выполняемыми нашими экспертами в вашем клиенте.

Частичный снимок экрана: страница нового поиска в Защитнике Портал соответствия требованиям Microsoft Purview.

Действия, выполняемые экспертами Defender Workload Тип записи
Вход в клиент клиента AzureActiveDirectory AzureActiveDirectoryStsLogon
Внесение изменений в инциденты на портале Microsoft Defender Microsoft365Defender MS365Dincident
Внесение изменений в правила подавления оповещений на портале Microsoft Defender Microsoft365Defender MS365DSuppressionRule
Внесение изменений в индикаторы в Microsoft Defender для конечной точки MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
Выполнение действий по исправлению устройств в Microsoft Defender для конечной точки MicrosoftDefenderForEndpoint MSDEResponseActions

Частичный снимок экрана: пример журнала аудита, связанный с экспертами Defender.

Поиск действий, выполняемых администраторами, в журналах аудита в параметрах экспертов Defender

  1. Войдите в Портал соответствия требованиям Microsoft Purview, чтобы использовать аудит нового поиска.
  2. Укажите диапазон даты и времени (UTC).
  3. В разделе Рабочая нагрузка выберите MicrosoftDefenderExperts.
  4. Выберите Поиск , чтобы вывести журналы аудита, связанные с действиями, выполняемыми администраторами клиента, в параметрах экспертов Defender.

Частичный снимок экрана: страница нового поиска в Защитнике Портал соответствия требованиям Microsoft Purview с выбранным полем Рабочей нагрузки MicrosoftDefenderExperts.

Поиск в журналах аудита с помощью скрипта PowerShell

В дополнение к использованию нового поиска аудита в Портал соответствия требованиям Microsoft Purview можно использовать командлеты PowerShell для поиска журналов аудита. Подробнее.

См. также

Важные рекомендации по Эксперты по Microsoft Defender для XDR

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.