Implementare Microsoft Purview Audit (Premium)

  • 3 minuti

Se un'organizzazione ha una sottoscrizione e una licenza per l'utente finale che supporta Audit (Premium), deve eseguire i passaggi seguenti per configurare e usare le funzionalità Di controllo (Premium).

Diagramma che mostra il flusso di lavoro per configurare Microsoft Purview Audit Premium.

Passaggio 1: Configurare Audit (Premium) per gli utenti.

Le funzionalità di Audit (Premium) richiedono una licenza E5 appropriata assegnata agli utenti. Inoltre, è necessario che per tali utenti siano abilitati l'app Controllo avanzato e/o il piano di servizio. Per verificare che l'app Controllo avanzato sia assegnata agli utenti, eseguire la procedura seguente per ogni utente:

  1. Nell'interfaccia di amministrazione di Microsoft 365, selezionare Utenti nel riquadro di spostamento, quindi Utenti attivi.
  2. Nella pagina Utenti attivi, selezionare un utente.
  3. Nella pagina a comparsa delle proprietà utente visualizzata selezionare la scheda Licenze e app .
  4. Nella sezione Licenze verificare che all'utente sia assegnata una licenza E5 o una licenza di componente aggiuntivo appropriata. Per un elenco delle licenze che supportano Audit (Premium), vedere Requisiti di licenza di Audit (Premium).
  5. Espandere la sezione App . Verificare che la casella di controlloMicrosoft 365 Audit avanzato sia selezionata. Selezionare la casella di controllo se non è selezionata e quindi selezionare Salva modifiche.

La registrazione dei record di controllo per gli eventi MailItemsAccessed e Invia inizierà entro 24 ore. Un'organizzazione deve eseguire il passaggio 4 per iniziare a registrare altri due eventi di Audit (Premium):

  • SearchQueryInitiatedExchange
  • SearchQueryInitiatedSharePoint

Inoltre, se sono state personalizzate le azioni della cassetta postale controllate nelle cassette postali degli utenti o nelle cassette postali condivise, eventuali nuovi eventi di Audit (Premium) rilasciati da Microsoft non verranno controllati automaticamente in tali cassette postali.

Letture aggiuntive. Per informazioni sulla modifica delle azioni della cassetta postale controllate per ogni tipo di accesso, vedere la sezione "Modificare o ripristinare le azioni della cassetta postale registrate per impostazione predefinita" in Gestire audit delle cassette postali.

Passaggio 2: Abilitare gli eventi di Audit (Premium)

È necessario abilitare la registrazione degli eventi Audit (Premium) seguenti in modo che gli utenti possano eseguire ricerche in Exchange Online e SharePoint Online:

  • SearchQueryInitiatedExchange
  • SearchQueryInitiatedSharePoint

Per consentire il controllo di questi due eventi per gli utenti, eseguire il comando seguente (per ogni utente) in PowerShell di Exchange Online:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

In un ambiente multi-geografico, è necessario eseguire il comando Set-Mailbox nella foresta di domini in cui si trova la cassetta postale dell'utente.

Per identificare la posizione della cassetta postale dell'utente, eseguire il comando seguente:

Get-Mailbox <user identity> | FL MailboxLocations

Se il comando per abilitare il controllo delle query di ricerca è stato eseguito in precedenza in una foresta diversa da quella in cui si trova la cassetta postale dell'utente, è necessario rimuovere il valore SearchQueryInitiated dalla cassetta postale dell'utente eseguendo il comando seguente:

Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}

È quindi necessario aggiungere il valore SearchQueryInitiated alla cassetta postale dell'utente nella foresta in cui si trova la cassetta postale dell'utente.

Passaggio 3: Configurare i criteri di conservazione degli audit

I criteri di conservazione predefiniti in Audit (Premium) conservano i record di controllo di Exchange, SharePoint e Microsoft Entra per un anno. Un'organizzazione può creare altri criteri di conservazione dei log di audit per soddisfare i requisiti dei team di sicurezza, IT e conformità.

Per altre informazioni, vedere l'unità successiva su come "Gestire i criteri di conservazione dei log di controllo".

Passaggio 4: Cercare eventi di Audit (Premium)

Dopo aver configurato Audit (Premium) per l'organizzazione, è possibile cercare eventi di controllo cruciali (Premium) e altre attività durante l'esecuzione di indagini forensi. Dopo aver completato i passaggi 1 e 2, puoi cercare eventi cruciali e altre attività nel log di Audit (Premium) durante indagini forensi relative ad account compromessi e ad altri tipi di indagini sulla sicurezza o sulla conformità.

Per altre informazioni sull'esecuzione di un'indagine forense sugli account utente compromessi tramite l'evento MailItemsAccessed Audit (Premium), vedere l'unità finale in questo modulo su come "Esaminare gli account compromessi".