稽核使用者活動
在您已為使用者設定 Azure 入口網站的存取權之後,您會希望可以在 OT 網路感應器和內部部署管理主控台上追蹤和稽核跨所有適用於 IoT 的 Microsoft Defender 使用者活動。
稽核 Azure 使用者活動
使用 Microsoft Entra 使用者稽核資源以跨適用於 IoT 的 Defender 來稽核 Azure 使用者活動。 如需詳細資訊,請參閱
稽核 OT 網路感測器上的使用者活動
稽核和追蹤感應器的事件時間表上使用者活動。 事件時間表顯示感應器上發生的事件、每個事件受影響的裝置,以及事件發生的時間和日期。
注意
預設、特殊權限的管理使用者和任何具有管理員角色的使用者都受此程序所支援。
若要使用感測器的事件時間表:
以預設、特殊權限的管理使用者或任何具有管理員角色的使用者身分登入感應器主控台。
在感應器上,從左側功能表中選取 [事件時間表]。 請確定篩選設定為顯示使用者作業。
例如:
使用額外篩選或使用 CTRL+F 搜尋,以尋找您感興趣的資訊。
如需事件時間表的詳細資訊,請參閱使用事件時間表追蹤網路和感應器活動 (部分機器翻譯)
在內部部署管理主控台上稽核使用者活動
重要
適用於 IoT 的 Defender 現在建議使用 Microsoft 雲端服務或現有的 IT 基礎結構進行集中監視和感應器管理,並計劃於 2025 年 1 月 1 日淘汰內部部署管理主控台。
如需詳細資訊,請參閱部署混合式或實體隔離斷網 OT 感應器管理 (部分機器翻譯)。
若要稽核及追蹤內部部署管理主控台上的使用者活動,請使用內部部署管理主控台稽核記錄,這會記錄活動發生時的重要活動資料。 使用內部部署管理主控台稽核記錄來理解在內部部署管理主控台上所進行的變更、變更時間以及變更的人員。
若要存取內部部署管理主控台稽核紀錄:
登入內部部署管理主控台,並選取 [系統設定]> [系統統計資料]>[稽核記錄]。
對話方塊會顯示來自目前使用中稽核記錄的資料。 例如:
例如:
每 10 MB 會產生新的稽核記錄。 除了目前的使用中記錄檔之外,還會儲存一個先前的記錄檔。
稽核記錄包含下列資料:
| 動作 | 記錄的資訊 |
|---|---|
| 瞭解和補救警示 | 警示識別碼 |
| 密碼變更 | 使用者、使用者識別碼 |
| 登入 | User |
| 使用者建立 | 使用者、使用者角色 |
| 密碼重設 | 使用者名稱 |
| 排除規則-建立 | 規則摘要 |
| 排除規則-編輯 | 規則識別碼、規則摘要 |
| 排除規則-刪除 | 規則識別碼 |
| 管理主控台升級 | 使用的升級檔案 |
| 感應器升級重試 | 感應器識別碼 |
| 已上傳的 TI 套件 | 未記錄其他資訊。 |
提示
您也可以匯出稽核記錄,將其傳送給支援小組,以進行額外的疑難排解。 如需詳細資訊,請參閱從內部部署管理主控台匯出記錄以進行疑難排解 (部分機器翻譯)。
下一步
如需詳細資訊,請參閱