Поиск по журналам аудита на портале Microsoft Defender

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Overview

Во всех организациях с облачными почтовыми ящиками единый журнал аудита записывает поддерживаемые операции пользователей и администраторов. Записи аудита для этих событий доступны для поиска специалистами по обеспечению безопасности, ИТ-администраторами, группами внутренних рисков, а также следователями по соответствию нормативным требованиям и юридическими следователями в организации. Эта возможность обеспечивает информированность о действиях, выполняемых в организации Microsoft 365.

В этой статье описывается, как открыть и запустить поиск в журнале аудита на портале Microsoft Defender, включая необходимые разрешения и ссылки на подробные инструкции по поиску. Перед началом работы просмотрите предварительные требования , чтобы убедиться, что у вас есть необходимые разрешения.

Совет

Поиск по журналам аудита на портале Microsoft Defender идентичен поиску по журналам аудита на портале Microsoft Purview по адресу https://purview.microsoft.com/auditlogsearch.

Что нужно знать перед началом работы

Ознакомьтесь со следующими предварительными условиями перед поиском в журнале аудита.

  • Прежде чем вы сможете выполнить процедуры, описанные в этой статье, вам должны быть назначены разрешения. Возможны следующие варианты:
    • разрешения Exchange Online: членство в группах ролей "Управление организацией" или "Управление соответствием требованиям".

    • Разрешения Microsoft Entra: Членство в ролях глобального администратора* или администратора соответствия требованиям дает пользователям необходимые разрешения и разрешения на использование других функций Microsoft 365.

      Важно!

      * Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Аудит. Или перейдите непосредственно на страницу Аудит по ссылке https://security.microsoft.com/auditlogsearch.
  2. На странице Аудит создайте поиск по журналу аудита. Инструкции см. в статье Аудит с помощью нового поиска или Использование сценария PowerShell для поиска в журнале аудита.