在审核日志中搜索Microsoft Defender XDR中的事件
审核日志可帮助你调查跨 Microsoft 365 服务的特定活动。 在Microsoft Defender门户中,将审核Microsoft Defender XDR和Microsoft Defender for Endpoint活动。 审核的一些活动包括:
- 对数据保留设置的更改
- 对高级功能的更改
- 创建泄露指标
- 设备的隔离
- 添加\编辑\删除安全角色
- 创建\编辑自定义检测规则
- 将用户分配到事件
有关审核的Microsoft Defender XDR活动的完整列表,请参阅Microsoft Defender XDR活动和Microsoft Defender for Endpoint活动。
为Microsoft Defender XDR自动启用审核。 审核的功能会自动记录在审核日志中。 审核还可以从 GCC 环境收集审核日志。
先决条件
若要访问审核日志,需要在 Exchange Online 中具有“仅查看审核日志”或“审核日志”角色。 默认情况下,这些角色分配给合规性管理和组织管理角色组。
注意
Office 365 和 Microsoft 365 中的全局管理员将自动添加为 Exchange Online 的组织管理角色组成员。
Microsoft Defender XDR使用 Microsoft Purview 审核解决方案。 在Microsoft Defender门户中查看审核数据之前,需要在Microsoft Purview 合规门户中启用审核。 有关详细信息,请参阅 打开或关闭审核。
重要
全局管理员是一种高特权角色,在无法使用现有角色时,应限制为方案。 Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。
搜索审核日志
按照以下步骤搜索审核日志:
导航到Microsoft Defender门户的“审核”页,或转到 Purview 合规性门户,然后选择“审核”。
在 “新建搜索 ”页上,筛选要审核的活动、日期和用户。
选择“搜索”
将结果导出到 Excel 进行进一步分析。
有关分步说明,请参阅 在合规性门户中搜索审核日志。
审核日志记录保留期基于 Microsoft Purview 保留策略。 有关详细信息,请参阅管理审核日志保留策略。
Microsoft Defender XDR活动
有关Microsoft 365 审核日志中Microsoft Defender XDR中为用户和管理员活动记录的所有事件的列表,请参阅:
- 审核日志中Microsoft Defender XDR中的自定义检测活动
- 审核日志中Microsoft Defender XDR中的事件活动
- 审核日志中Microsoft Defender XDR中的抑制规则活动
Microsoft Defender for Endpoint活动
有关Microsoft 365 审核日志中Microsoft Defender for Endpoint中为用户和管理员活动记录的所有事件的列表,请参阅:
- 审核日志中 Defender for Endpoint 中的常规设置活动
- 审核日志中 Defender for Endpoint 中的指示器设置活动
- 审核日志中 Defender for Endpoint 中的响应操作活动
- 审核日志中 Defender for Endpoint 中的角色设置活动
使用 PowerShell 脚本搜索事件
可以使用以下 PowerShell 代码片段查询Office 365管理 API,以检索有关Microsoft Defender XDR事件的信息:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
注意
有关记录类型值,请参阅包含的“审核活动”中的“API”列。
有关详细信息,请参阅 使用 PowerShell 脚本搜索审核日志