Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Overvågningsloggen hjælper dig med at undersøge bestemte aktiviteter på tværs af Microsoft-tjenester. Microsoft Sentinel datasø- og grafaktiviteter overvåges og kan søges i overvågningsloggen. Overvågningsloggen indeholder en post over aktiviteter, der udføres af brugere og administratorer i Microsoft Sentinel data lake og graph, f.eks.:
- Adgang til data i en sø via KQL-forespørgsler
- Kørsel af notesbøger på datasøen
- Opret/rediger/kør/slet job
- Kør grafforespørgsel
- Opret og kør MCP-værktøjer
Overvågning er automatisk aktiveret for Microsoft Sentinel datasø og -graf. Funktioner, der overvåges, logføres automatisk i overvågningsloggen.
Forudsætninger
Microsoft Sentinel data lake og graph bruger Microsoft Purview-overvågningsløsningen. Før du kan se på overvågningsdataene, skal du aktivere overvågning på Microsoft Purview-portalen. Du kan få flere oplysninger under Slå overvågning til eller fra.
Hvis du vil have adgang til overvågningsloggen, skal du have rollen Vis kun overvågningslogge eller Overvågningslogge i Exchange Online. Disse roller tildeles som standard til rollegrupperne Administration af overholdelse og Organisationsadministration.
Bemærk!
Globale administratorer i Office 365 og Microsoft 365 tilføjes automatisk som medlemmer af rollegruppen Organisationsadministration i Exchange Online.
Vigtigt!
Global administrator er en rolle med mange rettigheder, der bør begrænses til scenarier, når du ikke kan bruge en eksisterende rolle. Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation.
Microsoft Sentinel datasø- og grafaktiviteter
Du kan se en liste over alle hændelser, der logføres for bruger- og administratoraktiviteter i Microsoft Sentinel datasø, i følgende artikler:
- onboardingaktiviteter for Microsoft Sentinel datasøer
- Microsoft Sentinel aktiviteter i datasønotesbog
- Microsoft Sentinel jobaktiviteter i datasøer
- Microsoft Sentinel KQL-aktiviteter i datasøen
- Microsoft Sentinel aktiviteter med AI-værktøjer
- Microsoft Sentinel grafaktiviteter
Du kan finde detaljerede oplysninger om skemaer i overvågningsloggen i Microsoft Sentinel datasø- og grafskema.
Søgning i overvågningsloggen
Følg disse trin for at søge i overvågningsloggen:
Gå til Microsoft Purview-portalen, og vælg Overvågning.
På siden Ny søgning skal du filtrere de aktiviteter, datoer og brugere, du vil overvåge.
Vælg Søg
Eksportér dine resultater til Excel for at få yderligere analyse.
Du kan finde en trinvis vejledning under Søg efter overvågningslogon på Microsoft Purview-portalen.
Opbevaring af overvågningslogposter er baseret på Politikker for opbevaring af Microsoft Purview. Du kan få flere oplysninger under Administrer opbevaringspolitikker for overvågningslog.
Søg efter hændelser ved hjælp af et PowerShell-script
Du kan bruge følgende PowerShell-kodestykke til at forespørge api'en til Office 365 administration for at hente oplysninger om Microsoft Defender XDR hændelser:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
Bemærk!
Se kolonnen API i De overvågningsaktiviteter, der er inkluderet for posttypeværdierne.
Du kan finde flere oplysninger under Brug et PowerShell-script til at søge i overvågningsloggen