稽核
適用於:
身為租用戶系統管理員,您可以使用 Microsoft Purview 來搜尋稽核記錄中 Microsoft Defender 專家登入租用戶的時間,以及他們在該處執行調查所執行的動作。 您也可以搜尋稽核記錄,以取得租用戶系統管理員對 Defender 專家設定所做的變更。
稽核會在 Microsoft Defender 入口網站中自動開啟。 稽核的功能會自動記錄在稽核記錄中。 稽核也可以從 GCC 環境收集稽核記錄。
注意事項
請確定您具有搜尋稽核記錄 的正確權 限。
搜尋稽核記錄以尋找Defender專家所執行的動作
- 登入 Microsoft Purview 合規性入口網站 以使用稽核新搜尋。
- 提供 UTC) (日期和時間範圍 。
- 從下表所示的清單中選取 [ 工作負載 ] 和 [ 記錄類型 ],以進一步縮小搜尋範圍。
- 選 取 [搜尋 ] 以列出與租用戶中我們的專家所採取動作相關的稽核記錄。
| Defender 專家所執行的動作 | 工作負載 | 記錄類型 |
|---|---|---|
| 登入客戶租使用者 | AzureActiveDirectory | AzureActiveDirectoryStsLogon |
| 在入口網站中變更事件 Microsoft Defender | Microsoft365Defender | MS365Dincident |
| 在入口網站中變更警示隱藏規則 Microsoft Defender | Microsoft365Defender | MS365DSuppressionRule |
| 在 適用於端點的 Microsoft Defender 中變更指標 | MicrosoftDefenderForEndpoint | MSDEIndicatorsSettings |
| 在 適用於端點的 Microsoft Defender 中執行裝置補救動作 | MicrosoftDefenderForEndpoint | MSDEResponseActions |
在 Defender 專家設定中搜尋稽核記錄,以尋找系統管理員所執行的動作
- 登入 Microsoft Purview 合規性入口網站 以使用稽核新搜尋。
- 提供 UTC) (日期和時間範圍 。
- 在 [ 工作負載] 下,選擇 [MicrosoftDefenderExperts]。
- 選 取 [搜尋 ] 以列出與租用戶系統管理員對Defender專家設定所採取動作相關的稽核記錄。
![[Microsoft Purview 合規性入口網站 Defender 新增搜尋] 頁面的部分螢幕快照,其中顯示選取至 MicrosoftDefenderExperts 的 [工作負載] 字段。](/zh-tw/defender/media/xdr/audit-3.png#lightbox)
使用PowerShell腳本搜尋稽核記錄
除了在 Microsoft Purview 合規性入口網站 中使用稽核新搜尋之外,您還可以使用PowerShell Cmdlet來搜尋稽核記錄。 深入了解。
另請參閱
Microsoft Defender XDR 專家的重要考慮
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。