Søk i overvåkingsloggen etter hendelser i Microsoft Defender XDR

  • Gjelder for: Microsoft Defender for Endpoint Plan 2, Microsoft Defender XDR

Overvåkingsloggen hjelper deg med å undersøke bestemte aktiviteter på tvers av Microsoft 365-tjenester. Microsoft Defender XDR og Microsoft Defender for endepunkt aktiviteter overvåkes i Microsoft Defender portalen. Noen av aktivitetene som overvåkes er:

  • Endringer i innstillinger for dataoppbevaring
  • Endringer i avanserte funksjoner
  • Opprettelse av indikatorer for kompromiss
  • Isolasjon av enheter
  • Legg til\rediger\sletting av sikkerhetsroller
  • Opprett\rediger egendefinerte gjenkjenningsregler
  • Tilordne en bruker til en hendelse

Hvis du vil ha en fullstendig liste over Microsoft Defender XDR aktiviteter som overvåkes, kan du se Microsoft Defender XDR aktiviteter og Microsoft Defender for endepunkt aktiviteter.

Overvåking aktiveres automatisk for Microsoft Defender XDR. Funksjoner som overvåkes, logges automatisk i overvåkingsloggen. Overvåking kan også samle overvåkingslogger fra GCC-miljøer.

Forutsetninger

Hvis du vil ha tilgang til overvåkingsloggen, må du ha rollen Skrivebeskyttet overvåkingslogg ellerovervåkingslogger i Exchange Online. Som standard tilordnes disse rollene til rollegruppene Samsvarsadministrasjon og Organisasjonsadministrasjon.

Obs!

Globale administratorer i Office 365 og Microsoft 365 legges automatisk til som medlemmer av rollegruppen organisasjonsadministrasjon i Exchange Online.

Microsoft Defender XDR bruker Microsoft Purview-overvåkingsløsningen. Før du kan se på overvåkingsdataene i Microsoft Defender-portalen, må du aktivere overvåking i Microsoft Purview-portalen. Hvis du vil ha mer informasjon, kan du se Aktivere eller deaktivere overvåking.

Viktig

Global administrator er en svært privilegert rolle som bør begrenses til scenarioer når du ikke kan bruke en eksisterende rolle. Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen.

Søk i overvåkingsloggen

Følg disse trinnene for å søke i overvåkingsloggen:

  1. Gå til overvåkingssiden for Microsoft Defender-portalen, eller gå til purview-samsvarsportalen og velg Revisjon.

    Skjermbilde av den enhetlige overvåkingsloggsiden i Microsoft Defender XDR

  2. Filtrer aktivitetene, datoene og brukerne du vil overvåke, på Nytt søk-siden .

  3. Velg Søk

    Skjermbilde av søkealternativene for samlet overvåkingslogg i Microsoft Defender XDR

  4. Eksporter resultatene til Excel for videre analyse.

Hvis du vil ha trinnvise instruksjoner, kan du se Søke i overvåkingsloggen i samsvarsportalen.

Oppbevaring av overvåkingsloggoppføring er basert på oppbevaringspolicyer for Microsoft Purview. Hvis du vil ha mer informasjon, kan du se Behandle oppbevaringspolicyer for overvåkingslogg.

Microsoft Defender XDR aktiviteter

Hvis du vil ha en liste over alle hendelser som er logget for bruker- og administratoraktiviteter i Microsoft Defender XDR i overvåkingsloggen for Microsoft 365, kan du se:

Microsoft Defender for endepunkt aktiviteter

Hvis du vil ha en liste over alle hendelser som er logget for bruker- og administratoraktiviteter i Microsoft Defender for endepunkt i overvåkingsloggen for Microsoft 365, kan du se:

Søk etter hendelser ved hjelp av et PowerShell-skript

Du kan bruke følgende PowerShell-kodesnutt til å spørre Office 365 Management API-en for å hente informasjon om Microsoft Defender XDR hendelser:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Obs!

Se API-kolonnen i Overvåkingsaktiviteter som er inkludert for oppføringstypeverdiene.

Hvis du vil ha mer informasjon, kan du se Bruke et PowerShell-skript til å søke i overvåkingsloggen

Se også

  • Last updated on