Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il log di controllo consente di analizzare attività specifiche nei servizi Microsoft. Microsoft Sentinel attività data lake e grafo vengono controllate e possono essere cercate nel log di controllo. Il log di controllo fornisce un record delle attività eseguite da utenti e amministratori in Microsoft Sentinel data lake e grafo, ad esempio:
- Accesso ai dati in lake tramite query KQL
- Esecuzione di notebook nel data lake
- Creare/modificare/eseguire/eliminare processi
- Eseguire una query a grafo
- Creare ed eseguire strumenti MCP
Il controllo viene attivato automaticamente per Microsoft Sentinel data lake e grafo. Le funzionalità controllate vengono registrate automaticamente nel log di controllo.
Prerequisiti
Microsoft Sentinel data lake e grafo usa la soluzione di controllo Microsoft Purview. Prima di esaminare i dati di controllo, è necessario attivare il controllo nel portale di Microsoft Purview. Per altre informazioni, vedere Attivare o disattivare il controllo.
Per accedere al log di controllo, è necessario avere il ruolo Log di controllo di sola visualizzazione o Log di controllo in Exchange Online. Per impostazione predefinita, tali ruoli vengono assegnati ai gruppi di ruoli Gestione conformità e Gestione organizzazione.
Nota
Gli amministratori globali di Office 365 e Microsoft 365 vengono aggiunti automaticamente come membri del gruppo di ruoli Gestione organizzazione in Exchange Online.
Importante
Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari in cui non è possibile usare un ruolo esistente. Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione.
Microsoft Sentinel attività data lake e grafo
Per un elenco di tutti gli eventi registrati per le attività utente e amministratore in Microsoft Sentinel data lake, vedere gli articoli seguenti:
- attività di onboarding di Microsoft Sentinel data lake
- attività notebook Microsoft Sentinel data lake
- Microsoft Sentinel attività del processo data lake
- Microsoft Sentinel attività KQL del data lake
- Microsoft Sentinel attività degli strumenti di intelligenza artificiale
- Microsoft Sentinel attività del grafo
Per informazioni dettagliate sullo schema del log di controllo, vedere Microsoft Sentinel data lake e lo schema del grafo.
Eseguire ricerche nel log di controllo
Seguire questa procedura per eseguire una ricerca nel log di controllo:
Passare al portale di Microsoft Purview e selezionare Controlla.
Nella pagina Nuova ricerca filtrare le attività, le date e gli utenti da controllare.
Selezionare Cerca
Esportare i risultati in Excel per un'ulteriore analisi.
Per istruzioni dettagliate, vedere Cercare l'accesso di controllo nel portale di Microsoft Purview.
La conservazione dei record del log di controllo si basa sui criteri di conservazione di Microsoft Purview. Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo.
Cercare eventi usando uno script di PowerShell
È possibile usare il frammento di codice di PowerShell seguente per eseguire una query sull'API di gestione Office 365 per recuperare informazioni sugli eventi di Microsoft Defender XDR:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
Nota
Vedere la colonna API in Attività di controllo incluse per i valori del tipo di record.
Per altre informazioni, vedere Usare uno script di PowerShell per eseguire ricerche nel log di controllo