审核
适用于:
作为租户管理员,你可以使用 Microsoft Purview 在审核日志中搜索Microsoft Defender专家登录到租户的时间,以及他们在那里为执行调查而执行的操作。 还可以在审核日志中搜索租户管理员对 Defender 专家设置所做的更改。
审核在Microsoft Defender门户中自动打开。 审核的功能会自动记录在审核日志中。 审核还可以从 GCC 环境收集审核日志。
注意
确保具有搜索审核日志的适当 权限 。
在审核日志中搜索 Defender 专家执行的操作
- 登录到 Microsoft Purview 合规门户以使用审核新搜索。
- (UTC) 提供日期和时间范围 。
- 从下表中显示的列表中选择 “工作负荷 ”和“ 记录类型 ”以进一步缩小搜索范围。
- 选择“ 搜索 ”,列出与租户中的专家执行的操作相关的审核日志。
| Defender 专家执行的操作 | Workload | 记录类型 |
|---|---|---|
| 登录到客户租户 | AzureActiveDirectory | AzureActiveDirectoryStsLogon |
| 在 Microsoft Defender 门户中更改事件 | Microsoft365Defender | MS365Dincident |
| 在Microsoft Defender门户中更改警报抑制规则 | Microsoft365Defender | MS365DSuppressionRule |
| 对Microsoft Defender for Endpoint中的指示器进行更改 | MicrosoftDefenderForEndpoint | MSDEIndicatorsSettings |
| 在 Microsoft Defender for Endpoint 中执行设备修正操作 | MicrosoftDefenderForEndpoint | MSDEResponseActions |
在审核日志中搜索管理员在 Defender 专家设置中执行的操作
- 登录到 Microsoft Purview 合规门户以使用审核新搜索。
- (UTC) 提供日期和时间范围 。
- 在 “工作负荷”下,选择“ MicrosoftDefenderExperts”。
- 选择“ 搜索 ”,列出与租户管理员对 Defender Experts 设置执行的操作相关的审核日志。
使用 PowerShell 脚本搜索审核日志
除了在Microsoft Purview 合规门户中使用审核新搜索外,还可以使用 PowerShell cmdlet 搜索审核日志。 了解详细信息。
另请参阅
Microsoft Defender XDR 专家的重要注意事项
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。