审核
适用于:
作为租户管理员,你可以使用 Microsoft Purview 在审核日志中搜索Microsoft Defender专家登录到你的租户的时间,以及他们在那里执行调查所执行的操作。 还可以在审核日志中搜索租户管理员对 Defender 专家设置所做的更改。
将付费许可证分配给租户时,默认情况下,XDR 客户的所有Microsoft Defender专家都会启用审核 (Standard ) 。 如果你有试用许可证,请与服务交付管理器协作,以启用审核(如果尚未启用)。
注意
确保具有搜索审核日志的适当 权限 。
搜索 Defender 专家执行的操作的审核日志
- 登录到Microsoft Purview 合规门户以使用 Audit New 搜索。
- (UTC) 提供日期和时间范围 。
- 从下表中显示的列表中选择 “工作负荷 ”和“ 记录类型 ”以进一步缩小搜索范围。
- 选择搜索列出与租户中的专家执行的操作相关的审核日志。
| Defender 专家执行的操作 | Workload | 记录类型 |
|---|---|---|
| 登录到客户租户 | AzureActiveDirectory | AzureActiveDirectoryStsLogon |
| 在 Microsoft Defender 门户中更改事件 | Microsoft365Defender | MS365Dincident |
| 在Microsoft Defender门户中更改警报抑制规则 | Microsoft365Defender | MS365DSuppressionRule |
| 对Microsoft Defender for Endpoint中的指示器进行更改 | MicrosoftDefenderForEndpoint | MSDEIndicatorsSettings |
| 在 Microsoft Defender for Endpoint 中执行设备修正操作 | MicrosoftDefenderForEndpoint | MSDEResponseActions |
搜索管理员在 Defender 专家设置中执行的操作的审核日志
- 登录到Microsoft Purview 合规门户以使用 Audit New 搜索。
- (UTC) 提供日期和时间范围 。
- 在 “工作负荷”下,选择“ MicrosoftDefenderExperts”。
- 选择“搜索”,列出与租户管理员对 Defender Experts 设置执行的操作相关的审核日志。
使用 PowerShell 脚本搜索审核日志
除了在Microsoft Purview 合规门户中使用 Audit New 搜索外,还可以使用 PowerShell cmdlet 搜索审核日志。 了解详细信息。
另请参阅
XDR Microsoft Defender专家的重要注意事项
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。