Поиск событий в XDR Microsoft Defender в журнале аудита

Статья
07/24/2024

Область применения:

Журнал аудита поможет вам исследовать конкретные действия в службах Microsoft 365. На портале XDR в Microsoft Defender выполняется аудит действий XDR в Microsoft Defender и Microsoft Defender для конечной точки. Ниже перечислены некоторые из проверенных действий.

Изменения параметров хранения данных
Изменения в расширенных функциях
Создание индикаторов компрометации
Изоляция устройств
Добавление\изменение\удаление ролей безопасности
Создание и изменение настраиваемых правил обнаружения
Назначение пользователя инциденту

Полный список действий XDR в Microsoft Defender, которые проверяются, см. в разделах Действия XDR в Microsoft Defender и Действия Microsoft Defender для конечной точки.

Требования

Чтобы получить доступ к журналу аудита, необходимо иметь роль Просмотр только журналов аудита или Журналы аудита в Exchange Online. По умолчанию эти роли назначаются группам ролей "Управление соответствием требованиям" и "Управление организацией".

Примечание.

Глобальные администраторы в Office 365 и Microsoft 365 автоматически добавляются в качестве участников группы ролей управления организацией в Exchange Online.

Включение аудита в XDR в Microsoft Defender

XDR в Microsoft Defender использует решение аудита Microsoft Purview, прежде чем просматривать данные аудита на портале XDR в Microsoft Defender:

Убедитесь, что аудит включен на портале соответствия требованиям Microsoft Purview. Дополнительные сведения см. в разделе Включение и отключение аудита.
Выполните следующие действия, чтобы включить единый журнал аудита на портале XDR в Microsoft Defender:
1. Войдите в XDR в Microsoft Defender с помощью учетной записи с назначенной ролью администратора безопасности или глобального администратора.
2. В области навигации выберите Параметры Конечные>>точкиДополнительные функции.
3. Прокрутите собственный до единого журнала аудита и переключите параметр в значение Вкл.
4. Выберите Сохранить параметры.

Важно!

Глобальный администратор — это роль с высоким уровнем привилегий, которая должна быть ограничена сценариями, когда вы не можете использовать существующую роль. Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации.

Использование поиска аудита в XDR в Microsoft Defender

Чтобы получить журналы аудита для действий XDR в Microsoft Defender, перейдите на страницу Аудит XDR в Microsoft Defender или перейдите на портал соответствия требованиям Purview и выберите Аудит.
На странице Новый поиск отфильтруйте действия, даты и пользователей, которые требуется выполнить аудит.
Выберите Поиск
Экспорт результатов в Excel для дальнейшего анализа.

Пошаговые инструкции см. в разделе Поиск в журнале аудита на портале соответствия требованиям.

Хранение записей журнала аудита основано на политиках хранения Microsoft Purview. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.

Действия XDR в Microsoft Defender

Список всех событий, регистрируемых для действий пользователей и администраторов в XDR в Microsoft Defender, в журнале аудита Microsoft 365 см. в следующих разделах:

Действия Microsoft Defender для конечной точки

Список всех событий, регистрируемых для действий пользователей и администраторов в Microsoft Defender для конечной точки в журнале аудита Microsoft 365, см. в следующих разделах:

Использование скрипта PowerShell

Вы можете использовать следующий фрагмент кода PowerShell для запроса API управления Office 365 для получения сведений о событиях XDR в Microsoft Defender:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Примечание.

Сведения о типах записей см. в столбце API в разделе Действия аудита, включенные.

Поделиться через