Auditoria

Aplica-se a:

Como administrador de locatários, você pode usar o Microsoft Purview para pesquisar os logs de auditoria das vezes Microsoft Defender Especialistas entraram em seu locatário e as ações que eles fizeram lá para executar suas investigações. Você também pode pesquisar os logs de auditoria para obter as alterações feitas pelos administradores de locatários nas configurações do Defender Experts.

A auditoria (Standard) é ativada por padrão para todos os Microsoft Defender Especialistas para clientes XDR quando licenças pagas são atribuídas ao locatário. Se você tiver uma licença de avaliação, trabalhe com o gerenciador de entrega de serviços para ativar Auditoria se ainda não estiver.

Observação

Verifique se você tem as permissões certas para pesquisar logs de auditoria.

Pesquisa os logs de auditoria para ações executadas por Especialistas do Defender

  1. Entre no portal de conformidade do Microsoft Purview para usar Audit New Pesquisa.
  2. Forneça um UTC (data e intervalo de tempo).
  3. Selecione o tipo Carga de Trabalho e Registro na lista mostrada na tabela a seguir para restringir ainda mais sua pesquisa.
  4. Selecione Pesquisa para listar os logs de auditoria relacionados às ações realizadas por nossos especialistas em seu locatário.

Captura de tela parcial da página de pesquisa do Portal de conformidade do Microsoft Purview Defender Novo.

Ação executada por Especialistas do Defender Workload Tipo de registro
Entrar no locatário do cliente AzureActiveDirectory AzureActiveDirectoryStsLogon
Fazer alterações em incidentes no portal Microsoft Defender Microsoft365Defender MS365Dincident
Fazer alterações nas regras de supressão de alerta no portal Microsoft Defender Microsoft365Defender MS365DSuppressionRule
Fazer alterações nos indicadores no Microsoft Defender para Ponto de Extremidade MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
Executar ações de correção de dispositivo no Microsoft Defender para Ponto de Extremidade MicrosoftDefenderForEndpoint MSDEResponseActions

Captura de tela parcial de um log de auditoria de exemplo relacionado ao Defender Experts.

Pesquisa os logs de auditoria para ações executadas pelos administradores nas configurações do Defender Experts

  1. Entre no portal de conformidade do Microsoft Purview para usar Audit New Pesquisa.
  2. Forneça um UTC (data e intervalo de tempo).
  3. Em Carga de Trabalho, escolha MicrosoftDefenderExperts.
  4. Selecione Pesquisa para listar os logs de auditoria relacionados às ações tomadas pelos administradores de locatários para as configurações do Defender Experts.

Captura de tela parcial do portal de conformidade do Microsoft Purview página de pesquisa do Defender Novo mostrando o campo Carga de Trabalho selecionado para MicrosoftDefenderExperts.

Pesquisa os logs de auditoria usando um script do PowerShell

Além de usar Audit New Pesquisa no portal de conformidade do Microsoft Purview, você pode usar cmdlets do PowerShell para pesquisar logs de auditoria. Saiba mais.

Confira também

Considerações importantes para especialistas em Microsoft Defender para XDR

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.