Hae Microsoft Defender XDR tapahtumia valvontalokista

  • Koskee seuraavia:: Microsoft Defender for Endpoint Plan 2, Microsoft Defender XDR

Valvontalokin avulla voit tutkia tiettyjä toimintoja Microsoft 365 -palveluissa. Microsoft Defender portaalissa valvotaan Microsoft Defender XDR ja Microsoft Defender for Endpoint toimintoja. Valvottuja toimia ovat seuraavat:

  • Tietojen säilytysasetusten muutokset
  • Lisäominaisuuksien muutokset
  • Kompromissi-indikaattorien luominen
  • Laitteiden eristäminen
  • Lisää\muokkaa\poista käyttöoikeusrooleja
  • Luo\muokkaa mukautettuja tunnistussääntöjä
  • Käyttäjän määrittäminen tapauksiin

Täydellinen luettelo tarkastetuista Microsoft Defender XDR toimista on kohdassa Microsoft Defender XDR toimet ja Microsoft Defender for Endpoint toimet.

Valvonta otetaan automaattisesti käyttöön Microsoft Defender XDR. Valvotut ominaisuudet kirjataan valvontalokiin automaattisesti. Valvonta voi kerätä valvontalokeja myös GCC-ympäristöistä.

Ennakkovaatimukset

Jotta voit käyttää valvontalokia, sinulla on oltava vain tarkastelu -valvontalokit tai valvontalokit -rooli Exchange Online. Oletusarvoisesti nämä roolit määritetään Yhteensopivuuden hallinta- ja Organisaation hallinta -rooliryhmille.

Huomautus

Office 365 ja Microsoft 365:n yleiset järjestelmänvalvojat lisätään automaattisesti Organisaation hallinta -rooliryhmän jäseniksi Exchange Online.

Microsoft Defender XDR käyttää Microsoft Purview -valvontaratkaisua. Ennen kuin voit tarkastella valvontatietoja Microsoft Defender-portaalissa, sinun on otettava valvonta käyttöön Microsoft Purview -portaalissa. Lisätietoja on kohdassa Valvonnan ottaminen käyttöön tai poistaminen käytöstä.

Tärkeää

Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata tilanteisiin, joissa et voi käyttää olemassa olevaa roolia. Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Käyttämällä tilejä, joilla on pienemmät käyttöoikeudet, voit parantaa organisaatiosi suojausta.

Haun tekeminen valvontalokista

Voit tehdä hakuja valvontalokissa seuraavasti:

  1. Siirry Microsoft Defender portaalin valvontasivulle tai siirry Purview-yhteensopivuusportaaliin ja valitse Valvonta.

    Näyttökuva Microsoft Defender XDR yhdistetystä valvontalokisivusta

  2. Suodata Uusi haku - sivulla toiminnot, päivämäärät ja käyttäjät, joita haluat valvoa.

  3. Valitse haku

    Näyttökuva Microsoft Defender XDR yhdistetyistä valvontalokin hakuasetuksista

  4. Vie tulokset Exceliin lisäanalyyseja varten.

Vaiheittaiset ohjeet ovat artikkelissa Valvontalokin haku yhteensopivuusportaalissa.

Valvontalokitietueiden säilytys perustuu Microsoft Purview -säilytyskäytäntöihin. Lisätietoja on kohdassa Valvontalokin säilytyskäytäntöjen hallinta.

Microsoft Defender XDR aktiviteetit

Luettelo kaikista tapahtumista, jotka on kirjattu käyttäjän ja järjestelmänvalvojan toiminnasta Microsoft Defender XDR Microsoft 365:n valvontalokissa, on seuraavissa aiheissa:

Microsoft Defender for Endpoint aktiviteetit

Luettelo kaikista tapahtumista, jotka kirjataan käyttäjän ja järjestelmänvalvojan toimintaan Microsoft Defender for Endpoint Microsoft 365:n valvontalokissa, on seuraavissa aiheissa:

Hae tapahtumia PowerShell-komentosarjan avulla

Seuraavan PowerShell-koodikatkelman avulla voit kysellä Office 365 hallinnan ohjelmointirajapintaa tietojen hakemiseksi Microsoft Defender XDR tapahtumista:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Huomautus

Katso tietuetyyppiarvot valvontatoimintojen ohjelmointirajapintasarakkeesta.

Lisätietoja on kohdassa Valvontalokista etsiminen PowerShell-komentosarjan avulla

Tutustu myös seuraaviin ohjeartikkeleihin:

  • Last updated on