Descrivere il controllo in Microsoft Purview

  • 4 minuti

Le soluzioni di controllo in Microsoft Purview aiutano le organizzazioni a rispondere efficacemente agli eventi di sicurezza, alle indagini forensi, alle indagini interne e agli obblighi di conformità. Migliaia di operazioni di utenti e amministratori, eseguite in dozzine di servizi e soluzioni di Microsoft 365 e anche in Security Copilot (se abilitato), vengono acquisite, registrate e conservate nel log di controllo unificato dell'organizzazione. I record di controllo per questi eventi sono ricercabili da operazioni di sicurezza, amministratori IT, team di rischio Insider e investigatori per gli aspetti legali e la conformità nell'organizzazione. Questa funzionalità offre la visibilità delle attività eseguite nell'organizzazione di Microsoft 365.

Microsoft Purview offre due soluzioni di controllo:

  • Audit (Standard)
  • Audit (Premium)

Audit (Standard)

Audit (Standard) è attivato per impostazione predefinita per tutte le organizzazioni con la sottoscrizione appropriata ed è disponibile agli utenti con le autorizzazioni appropriate. Quando un'attività inclusa nell'audit viene eseguita da un utente o da un amministratore, viene generato e archiviato un record di audit nel log di audit per l'organizzazione. In Audit (Standard), i record vengono conservati per 180 giorni. È possibile recuperare i log di controllo creati nella maggior parte dei servizi di Microsoft 365 nell'organizzazione usando i metodi seguenti:

  • Lo strumento di ricerca di log di controllo nel portale di Microsoft Purview.
  • L'API Office 365 Management Activity
  • Il cmdlet Search-UnifiedAuditLog in PowerShell di Exchange Online

Dopo la ricerca nel log di controllo, è possibile esportare i record di controllo restituiti dalla ricerca in un file CSV, consentendo analisi aggiuntive con Microsoft Excel o Excel Power Query.

Audit (Premium)

Audit (Premium) si basa sulle funzionalità di Audit (Standard) fornendo criteri di conservazione dei log di controllo, informazioni dettagliate intelligenti con elevato valore e accesso con larghezza di banda superiore all'API Office 365 Management Activity.

  • Criteri di conservazione dei log di controllo. È possibile creare criteri di conservazione dei log di controllo personalizzati per conservare i record di controllo per un periodi di tempo più lungi, fino a un anno e fino a 10 anni per gli utenti con licenza del componente aggiuntivo necessaria.
  • Conservazione più lunga dei record di controllo. I record di controllo di Microsoft Entra, Exchange, OneDrive e SharePoint vengono conservati per un anno per impostazione predefinita. I record di controllo per tutte le altre attività vengono conservati per 180 giorni per impostazione predefinita oppure è possibile usare i criteri di conservazione dei log di controllo per configurare periodi di conservazione più lunghi.
  • Informazioni dettagliate intelligenti di Audit (Premium). I record di controllo per informazioni dettagliate intelligenti consentono all'organizzazione di condurre indagini forensi e di conformità fornendo visibilità di eventi come quando si effettua l'accesso a elementi di posta, quando si risponde o si inoltrano elementi di posta oppure quando un utente ha eseguito una ricerca in Exchange Online e SharePoint Online. Queste informazioni intelligenti consentono di analizzare possibili violazioni e determinare l'ambito della compromissione.
  • Maggiore larghezza di banda per l'API Office 365 Management Activity. Audit (Premium) offre alle organizzazioni una larghezza di banda maggiore per accedere ai log di controllo tramite l'API Office 365 Management Activity.

Licenze

Le licenze per Audit (Standard) o Audit (Premium) richiedono la sottoscrizione a livello di organizzazione appropriata e le licenze per utente corrispondenti. Per altre informazioni sui requisiti di licenza, vedere la sezione Altre informazioni nell'unità Riepilogo e risorse.

Log di controllo in Microsoft Purview per Security Copilot

La funzionalità di registrazione di controllo in Security Copilot usa Microsoft Purview per l'elaborazione e l'archiviazione delle azioni degli amministratori, delle attività degli utenti e delle risposte generate da Copilot. Sono inclusi i dati di qualsiasi integrazione Microsoft e non Microsoft.

Dal portale di Microsoft Security Copilot (esperienza autonoma), i proprietari di Copilot possono fornire il consenso esplicito per consentire a Microsoft Purview di accedere, elaborare, copiare e archiviare i dati dei clienti dai servizi Security Copilot. Quando questa funzionalità è abilitata in Copilot, se l'organizzazione usa già Microsoft Purview, non sono necessarie ulteriori azioni. I log di controllo sono abilitati per impostazione predefinita nelle organizzazioni che usano Microsoft 365. Tuttavia, per configurare una nuova organizzazione Microsoft 365, è necessario verificare lo stato di controllo aziendale. Se l'organizzazione non usa già Microsoft Purview, è necessario effettuare il provisioning della registrazione di controllo. Per altre informazioni, vedere Attivare o disattivare il controllo.

Microsoft Purview archivia i dati dei clienti nell'area in cui vengono archiviati i dati di Microsoft 365. Per altre informazioni, vedere Privacy e sicurezza dei dati in Microsoft Security Copilot.