Udostępnij przez

Rejestr inspekcji dla data lake i grafu Microsoft Sentinel w portalu Microsoft Purview

Dziennik inspekcji pomaga zbadać konkretne działania w usługach firmy Microsoft. Działania związane z jeziorem danych i grafami w Microsoft Sentinel są poddawane inspekcji i można je przeszukiwać w dzienniku inspekcji. Dziennik inspekcji zawiera rekord działań wykonywanych przez użytkowników i administratorów w usłudze Data Lake i grafie usługi Microsoft Sentinel, takich jak:

  • Uzyskiwanie dostępu do danych w usłudze Lake za pośrednictwem zapytań KQL
  • Uruchamianie notesów w usłudze Data Lake
  • Tworzenie/edytowanie/uruchamianie/usuwanie zadań
  • Uruchamianie zapytania grafu
  • Tworzenie i uruchamianie narzędzi MCP

Inspekcja jest automatycznie włączona dla usługi Data Lake i grafu usługi Microsoft Sentinel. Funkcje poddane inspekcji są automatycznie rejestrowane w dzienniku inspekcji.

Wymagania wstępne

Data Lake i graf Microsoft Sentinel korzystają z rozwiązania do inspekcji Microsoft Purview. Przed sprawdzeniem danych inspekcji należy włączyć inspekcję w portalu usługi Microsoft Purview. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie inspekcji.

Aby uzyskać dostęp do dziennika inspekcji, musisz mieć rolę Dzienniki inspekcji tylko do wyświetlania lub Dzienniki inspekcji w Exchange Online. Domyślnie te role są przypisywane do grup ról Zarządzanie zgodnością i Zarządzanie organizacją.

Uwaga / Notatka

Administratorzy globalni w Office 365 i microsoft 365 są automatycznie dodawani jako członkowie grupy ról Zarządzanie organizacją w Exchange Online.

Ważne

Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy, gdy nie można użyć istniejącej roli. Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont z niższymi uprawnieniami pomaga zwiększyć bezpieczeństwo organizacji.

Działania usługi Data Lake i grafów usługi Microsoft Sentinel

Aby uzyskać listę wszystkich zdarzeń rejestrowanych dla działań użytkownika i administratora w usłudze Data Lake usługi Microsoft Sentinel, zobacz następujące artykuły:

Aby uzyskać szczegółowe informacje o schemacie dziennika inspekcji, zobacz jezioro danych i schemat wykresu Microsoft Sentinel.

Przeszukaj dziennik inspekcji

Wykonaj następujące kroki, aby przeszukać dziennik inspekcji:

  1. Przejdź do portalu usługi Microsoft Purview i wybierz pozycję Inspekcja.

  2. Na stronie Nowe wyszukiwanie przefiltruj działania, daty i użytkowników, którzy mają zostać przefiltrowane.

  3. Wybierz pozycję Wyszukaj

    Zrzut ekranu przedstawiający ujednoliconą stronę dziennika inspekcji.

  4. Wyeksportuj wyniki do programu Excel w celu dalszej analizy.

Aby uzyskać instrukcje krok po kroku, zobacz Wyszukiwanie logowania inspekcji w portalu usługi Microsoft Purview.

Przechowywanie rekordów dziennika inspekcji jest oparte na zasadach przechowywania usługi Microsoft Purview. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami przechowywania dzienników inspekcji.

Wyszukiwanie zdarzeń przy użyciu skryptu programu PowerShell

Poniższy fragment kodu programu PowerShell umożliwia wykonywanie zapytań względem interfejsu API zarządzania Office 365 w celu pobrania informacji o zdarzeniach Microsoft Defender XDR:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Uwaga / Notatka

Zobacz kolumnę interfejsu API w sekcji Inspekcja działań uwzględnionych dla wartości typu rekordu.

Aby uzyskać więcej informacji, zobacz Używanie skryptu programu PowerShell do przeszukiwania dziennika inspekcji

Zobacz także

  • Last updated on