Поиск по журналам аудита на портале Microsoft Defender

Во всех организациях с облачными почтовыми ящиками единый журнал аудита записывает поддерживаемые операции пользователей и администраторов. Записи аудита для этих событий доступны для поиска специалистами по обеспечению безопасности, ИТ-администраторами, группами внутренних рисков, а также следователями по соответствию нормативным требованиям и юридическими следователями в организации. Эта возможность обеспечивает информированность о действиях, выполняемых в организации Microsoft 365.

Что нужно знать перед началом работы

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • разрешения Exchange Online: членство в группах ролей "Управление организацией" или "Управление соответствием требованиям".

  • Microsoft Entra разрешения. Членство в ролях глобального администратора^* или администратора соответствия требованиям предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

    Важно!

    ^* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

Открытие поиска по журналу аудита

На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Аудит. Или перейдите непосредственно на страницу Аудит по ссылке https://security.microsoft.com/auditlogsearch.

На странице Аудит создайте поиск по журналу аудита. Инструкции см. в следующих статьях:

• Аудит нового поиска
• Поиск в журнале аудита с помощью сценария PowerShell