Поделиться через

Доступ к журналу аудита Security Copilot

  • Статья

В современной строгой нормативно-правовой среде организациям важно отслеживать и анализировать взаимодействие пользователей с продуктами безопасности. Организациям может потребоваться отслеживать действия, транзакции и параметры конфигурации на платформе, чтобы обеспечить соответствие нормативным требованиям и нормативным стандартам.

Security Copilot предоставляет доступ к журналам аудита через Microsoft Purview и API управления Office, чтобы обеспечить соответствие нормативным требованиям. Журнал аудита позволяет просматривать такие сведения, как события администратора и метаданные действий.

  • события Администратор — привилегированные действия, такие как изменение параметров на уровне клиента или административные изменения (например, общий доступ к данным, конфигурации подключаемого модуля и модуля командной строки).

  • Метаданные действия — журналы взаимодействия пользователей на платформе Security Copilot (например, пользователь запросил запрос в определенное время со сведениями о типе действия).

Примечание.

Сюда не входит содержимое клиента, например фактический запрос и ответ.

Отслеживая эти взаимодействия, можно выявить риски и защитить производственные данные.

Включение возможности журнала аудита в Security Copilot

Во время первого запуска администратор безопасности может разрешить Microsoft Purview получать доступ, обрабатывать, копировать и хранить действия администратора, действия пользователей и ответы Copilot. Дополнительные сведения см. в статье Начало работы с Security Copilot.

Администраторы безопасности также могут получить доступ к этому параметру на странице параметров владельца. Дополнительные сведения см. в статье Основные сведения о проверке подлинности.

В большинстве случаев журналы доступны в Microsoft Purview в течение 24 часов после включения этой возможности.

Чтобы обновить параметры журнала аудита, выполните следующие действия.

  1. Войдите в Security Copilot (https://securitycopilot.microsoft.com).

  2. Щелкните значок главного меню.

  3. Перейдите к параметрам> владельцаВедение данных аудита в Microsoft Purview.

    Изображение ведения журнала данных аудита в Microsoft Purview на странице параметров владельца

    Важно!

    Microsoft Purview будет хранить данные клиентов в регионе, где хранятся данные Microsoft 365. Дополнительные сведения см. в статье Конфиденциальность и безопасность данных. Срок хранения журналов аудита по умолчанию составляет 180 дней, но его можно продлить с помощью политик хранения журналов аудита. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.

  4. Можно включить или отключить этот переключатель.

Доступ к журналу аудита в Microsoft Purview для Security Copilot

Подготовка к работе

В этом разделе приводятся общие сведения о предварительных требованиях для доступа к журналу аудита.

Вам понадобится следующее:

Примечание.

Для доступа к журналу аудита в Microsoft Purview вам потребуются необходимые разрешения. Дополнительные сведения см. в разделе Разрешения на портале Microsoft Purview. Обратите внимание, что эти права доступа могут отличаться от прав доступа в Security Copilot.

Параметры доступа к журналу аудита

Для доступа к журналу аудита в Microsoft Purview можно выполнить следующие действия:

  • Поиск по журналу аудита . Статья, в которую приводятся инструкции о том, как получить доступ к данным о событиях журнала аудита и выполнить поиск по этим данным, чтобы получить аналитические сведения и дальнейшее исследование действий пользователей.
  • Поиск по действиям в журнале аудита — статья, описывающая действия, зафиксированные в журнале аудита.
  • Выполните поиск в журнале аудита с помощью скрипта PowerShell . Статья, в которую приводятся инструкции по запуску скрипта PowerShell для поиска в журнале аудита, чтобы помочь в расследовании инцидентов безопасности и проблем с соответствием требованиям.