Microsoft Defender XDR で監査ログでイベントを検索する
適用対象:
監査ログは、Microsoft 365 サービス全体の特定のアクティビティを調査するのに役立ちます。 Microsoft Defender XDR ポータルでは、Microsoft Defender XDR と Microsoft Defender for Endpoint アクティビティが監査されます。 監査されるアクティビティの一部は次のとおりです。
- データ保持設定の変更
- 高度な機能の変更
- 侵害のインジケーターの作成
- デバイスの分離
- セキュリティ ロールの追加/編集/削除
- カスタム検出ルールの作成と編集
- インシデントにユーザーを割り当てる
監査される Microsoft Defender XDR アクティビティの完全な一覧については、「 Microsoft Defender XDR アクティビティ 」と「 Microsoft Defender for Endpoint アクティビティ」を参照してください。
要件
監査ログにアクセスするには、Exchange Online で [監査ログの表示のみ] または [監査ログ] ロールが必要です。 既定では、これらのロールはコンプライアンス管理ロール グループと組織管理ロール グループに割り当てられます。
注:
Office 365 および Microsoft 365 のグローバル管理者は自動的に、組織管理役割グループのメンバーとして Exchange Online に追加されます。
Microsoft Defender XDR で監査を有効にする
Microsoft Defender XDR では、 Microsoft Defender XDR ポータルで監査データを確認する前に、Microsoft Purview 監査ソリューションを使用します。
Microsoft Purview コンプライアンス ポータルで監査が有効になっていることを確認する必要があります。 詳細については、「監査のオンとオフを切り替える」を参照してください。
Microsoft Defender XDR ポータルで統合監査ログを有効にするには、次の手順に従います。
- セキュリティ管理者またはグローバル管理者ロールが割り当てられているアカウントを使用して 、Microsoft Defender XDR にログインします。
- ナビゲーション ウィンドウで、 設定>Endpoints>Advanced 機能を選択します。
- [独自] を [統合監査ログ] までスクロールし、設定を [オン] に切り替えます。
4. [ 設定の保存] を選択します。
重要
グローバル管理者は高い特権を持つロールであり、既存のロールを使用できないシナリオに限定する必要があります。 Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。
Microsoft Defender XDR での監査検索の使用
Microsoft Defender XDR アクティビティの監査ログを取得するには、 Microsoft Defender XDR 監査ページ に移動するか、 Purview コンプライアンス ポータル に移動して [監査] を選択します。
[ 新しい検索 ] ページで、監査するアクティビティ、日付、ユーザーをフィルター処理します。
[検索] を選択します
さらに詳しく分析するために、結果を Excel にエクスポートします。
詳細な手順については、「 コンプライアンス ポータルで監査ログを検索する」を参照してください。
監査ログ レコードの保持は、Microsoft Purview の保持ポリシーに基づいています。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。
Microsoft Defender XDR アクティビティ
Microsoft 365 監査ログの Microsoft Defender XDR のユーザーアクティビティと管理者アクティビティに対してログに記録されるすべてのイベントの一覧については、次を参照してください。
- 監査ログでの Microsoft Defender XDR のカスタム検出アクティビティ
- 監査ログでの Microsoft Defender XDR のインシデント アクティビティ
- 監査ログの Microsoft Defender XDR での抑制ルール アクティビティ
Microsoft Defender for Endpoint アクティビティ
Microsoft 365 監査ログの Microsoft Defender for Endpoint のユーザーアクティビティと管理者アクティビティに対してログに記録されるすべてのイベントの一覧については、次を参照してください。
- 監査ログの Defender for Endpoint の全般設定アクティビティ
- 監査ログの Defender for Endpoint のインジケーター設定アクティビティ
- 監査ログの Defender for Endpoint での応答アクション アクティビティ
- 監査ログの Defender for Endpoint のロール設定アクティビティ
PowerShell スクリプトの使用
次の PowerShell コード スニペットを使用して、Office 365 Management API に対してクエリを実行して、Microsoft Defender XDR イベントに関する情報を取得できます。
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
注:
レコードの種類の値については、監査アクティビティに含まれる API 列を参照してください。