Condividi tramite

Controllo

  • Articolo

Si applica a:

In qualità di amministratore del tenant, è possibile usare Microsoft Purview per cercare nei log di controllo i tempi Microsoft Defender esperti che hanno eseguito l'accesso al tenant e le azioni eseguite per eseguire le indagini. È anche possibile cercare nei log di controllo le modifiche apportate dagli amministratori del tenant alle impostazioni di Defender Experts.

Il controllo viene attivato automaticamente nel portale di Microsoft Defender. Le funzionalità controllate vengono registrate automaticamente nel log di controllo. Il controllo può anche raccogliere i log di controllo dagli ambienti GCC.

Nota

Assicurarsi di avere le autorizzazioni appropriate per cercare i log di controllo.

Cercare le azioni eseguite da Defender Experts nei log di controllo

  1. Accedere al Portale di conformità di Microsoft Purview per usare Controlla nuova ricerca.
  2. Specificare un intervallo di data e ora (UTC).
  3. Selezionare il tipo di carico di lavoro e record nell'elenco illustrato nella tabella seguente per limitare ulteriormente la ricerca.
  4. Selezionare Cerca per elencare i log di controllo correlati alle azioni eseguite dagli esperti nel tenant.

Screenshot parziale della pagina di ricerca Portale di conformità di Microsoft Purview Defender New.

Azione eseguita da Defender Experts Carico di lavoro Tipo di record
Accedere al tenant del cliente AzureActiveDirectory AzureActiveDirectoryStsLogon
Apportare modifiche agli eventi imprevisti nel portale di Microsoft Defender Microsoft365Defender MS365Dincident
Apportare modifiche alle regole di eliminazione degli avvisi nel portale di Microsoft Defender Microsoft365Defender MS365DSuppressionRule
Apportare modifiche agli indicatori in Microsoft Defender per endpoint MicrosoftDefenderForEndpoint MSDEIndicatorsSettings
Eseguire azioni di correzione dei dispositivi in Microsoft Defender per endpoint MicrosoftDefenderForEndpoint MSDEResponseActions

Screenshot parziale di un log di controllo di esempio correlato a Defender Experts.

Cercare nei log di controllo le azioni eseguite dagli amministratori nelle impostazioni di Defender Experts

  1. Accedere al Portale di conformità di Microsoft Purview per usare Controlla nuova ricerca.
  2. Specificare un intervallo di data e ora (UTC).
  3. In Carico di lavoro scegliere MicrosoftDefenderExperts.
  4. Selezionare Cerca per elencare i log di controllo correlati alle azioni eseguite dagli amministratori del tenant nelle impostazioni di Defender Experts.

Screenshot parziale della pagina di ricerca Portale di conformità di Microsoft Purview Defender New che mostra il campo Carico di lavoro selezionato in MicrosoftDefenderExperts.

Eseguire ricerche nei log di controllo usando uno script di PowerShell

Oltre a usare Controlla nuova ricerca nel Portale di conformità di Microsoft Purview, è possibile usare i cmdlet di PowerShell per cercare i log di controllo. Altre informazioni.

Vedere anche

Considerazioni importanti per Microsoft Defender Experts for XDR

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.