Поиск событий в журнале аудита в Microsoft Defender XDR
Журнал аудита помогает исследовать определенные действия в службах Microsoft 365. На портале Microsoft Defender выполняется аудит действий Microsoft Defender XDR и Microsoft Defender для конечной точки. Ниже перечислены некоторые из проверенных действий.
- Изменения параметров хранения данных
- Изменения в расширенных функциях
- Создание индикаторов компрометации
- Изоляция устройств
- Добавление\изменение\удаление ролей безопасности
- Создание и изменение настраиваемых правил обнаружения
- Назначение пользователя инциденту
Полный список действий Microsoft Defender XDR, которые проверяются, см. в разделе действия Microsoft Defender XDR и действия Microsoft Defender для конечной точки.
Аудит автоматически включается для Microsoft Defender XDR. Функции, для которых выполняется аудит, автоматически регистрируются в журнале аудита. Аудит также может собирать журналы аудита из сред GCC.
Предварительные условия
Чтобы получить доступ к журналу аудита, в Exchange Online должна быть роль "Только просмотр журналов аудита" или "Журналы аудита". По умолчанию эти роли назначаются группам ролей "Управление соответствием требованиям" и "Управление организацией".
Примечание.
Глобальные администраторы в Office 365 и Microsoft 365 автоматически добавляются в качестве участников группы ролей управления организацией в Exchange Online.
Microsoft Defender XDR использует решение аудита Microsoft Purview. Прежде чем просматривать данные аудита на портале Microsoft Defender, необходимо включить аудит в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в разделе Включение и отключение аудита.
Важно!
Глобальный администратор — это роль с высоким уровнем привилегий, которая должна быть ограничена сценариями, когда вы не можете использовать существующую роль. Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Использование учетных записей с более низкими разрешениями помогает повысить безопасность вашей организации.
Поиск в журнале аудита
Выполните следующие действия, чтобы выполнить поиск в журнале аудита.
Перейдите на страницу аудита Microsoft Defender портала или перейдите на портал соответствия требованиям Purview и выберите Аудит.
На странице Новый поиск отфильтруйте действия, даты и пользователей, которые требуется выполнить аудит.
Выберите Поиск
Экспорт результатов в Excel для дальнейшего анализа.
Пошаговые инструкции см. в разделе Поиск в журнале аудита на портале соответствия требованиям.
Хранение записей журнала аудита основано на политиках хранения Microsoft Purview. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.
действия Microsoft Defender XDR
Список всех событий, зарегистрированных для действий пользователей и администраторов в Microsoft Defender XDR в журнале аудита Microsoft 365, см. в следующих разделах:
- Пользовательские действия обнаружения в Microsoft Defender XDR в журнале аудита
- Действия инцидентов в Microsoft Defender XDR в журнале аудита
- Подавление действий правил в Microsoft Defender XDR в журнале аудита
действия Microsoft Defender для конечной точки
Список всех событий, зарегистрированных для действий пользователей и администраторов в Microsoft Defender для конечной точки в журнале аудита Microsoft 365, см. в следующих разделах:
- Действия общих параметров в Defender для конечной точки в журнале аудита
- Действия параметров индикатора в Defender для конечной точки в журнале аудита
- Действия реагирования в Defender для конечной точки в журнале аудита
- Действия параметров ролей в Defender для конечной точки в журнале аудита
Поиск событий с помощью скрипта PowerShell
Следующий фрагмент кода PowerShell можно использовать для запроса API управления Office 365 для получения сведений о событиях Microsoft Defender XDR:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
Примечание.
Сведения о типах записей см. в столбце API в разделе Действия аудита, включенные.
Дополнительные сведения см. в статье Использование скрипта PowerShell для поиска в журнале аудита.