Обзор аудита Microsoft Purview (Премиум)

Завершено

Функция аудита в Microsoft Purview позволяет организациям получить представление о множестве типов проверяемых действий в различных службах Microsoft 365. Microsoft Purview предоставляет два решения для аудита: Аудит (стандарт) и Аудит (премиум).

В предыдущем модуле вы узнали, что аудит Microsoft Purview (стандартный) позволяет компаниям регистрировать действия, подлежащие аудиту, а также выполнять их поиск. Кроме того, он позволяет организации проводить судебно-медицинские расследования, ИТ-расследования, расследования относительно соответствия требованиям и юридические расследования.

В этом модуле вы узнаете, что аудит Microsoft Purview (Премиум) основан на возможностях аудита Microsoft Purview (стандартный). Он предоставляет расширенные функции, предусмотренные специально для организаций, которые проводят судебно-медицинские расследования и расследования относительно соответствия требованиям. Эти функции обеспечивают:

• увеличенное хранение журнала аудита, необходимое для проведения расследования;
• доступ к важным событиям, которые помогают определить масштабы компрометации;
• доступ с более высокой пропускной способностью и, следовательно, более быстрый доступ к API действий управления Office 365.

В этом уроке представлен обзор возможностей аудита (Премиум).

Подписка организации и лицензирование пользователей

Аудит (Премиум) доступен для организаций с подпиской на Office 365 E5/A5/G5 или Microsoft 365 Enterprise E5/A5/G5. Для организаций с подпиской E5/A5/G5 соответствующие клиенты и пользователи, которым назначена соответствующая лицензия E5/A5/G5, получат доступ к событиям аудита (Премиум). События аудита (Премиум) будут генерироваться только для пользователей с лицензиями E5/A5/G5 после назначения этих лицензий.

Для использования возможностей аудита (Премиум) пользователю должна быть назначена лицензия E5/A5/G5. Некоторые функции проверяют наличие у пользователя соответствующей лицензии перед тем, как предоставить ему возможность работать с ними. Например, если вы попытаетесь сохранить записи аудита для пользователя, которому не назначена необходимая лицензия на срок более 90 дней, система выведет сообщение об ошибке.

Длительное хранение журналов аудита

Если проверяемое действие выполняется пользователем или администратором, выполняется создание записи аудита, которая сохраняется в журнале аудита для организации. В аудите Microsoft Purview (стандартный) записи хранятся в течение 90 дней. Для сравнения, аудит (премиум) сохраняет все записи аудита Exchange, SharePoint и Microsoft Entra в течение одного года.

Это дополнительное время хранения аудит (Премиум) обеспечивает за счет реализации политики хранения журнала аудита по умолчанию. Хранение записей аудита в течение более длительных периодов может помочь при проведении расследований и анализа соответствия требованиям. Дополнительные сведения см. в разделе "Политика хранения журнала аудита по умолчанию" статьи Управление политиками хранения журнала аудита.

Примечание.

В дополнение к возможностям хранения записей аудита (Премиум) в течение одного года Microsoft 365 может дополнительно хранить журналы аудита в течение 10 лет. Она помогает поддерживать длительные расследования и реагировать на нормативные, правовые и внутренние обязательства. Для хранения журналов аудита в течение 10 лет требуется дополнительная лицензия "на пользователя". После назначения этой лицензии пользователю и задания соответствующей политики 10-летнего срока хранения журналов аудита для этого пользователя начнется хранение журналов аудита, которые регулируются этой политикой, в течение 10 лет. Эта политика не имеет обратной силы. Следовательно, она не применима к журналам аудита, созданным до ее появления.

Политики хранения журнала аудита

Все записи аудита, созданные в других службах, не охватываемых политикой хранения журнала аудита по умолчанию, сохраняются в течение 90 дней. Но пользователь может создавать настраиваемые политики хранения журналов аудита для хранения других записей аудита в течение 10 лет. Можно создать политику для хранения записей аудита на основе одного или нескольких условий, указанных ниже:

• Служба Microsoft 365, в которой происходят действия, подлежащие аудиту
• Конкретные действия, подлежащие аудиту.
• Пользователь, выполняющий действие, подлежащее аудиту.

Кроме того, вы можете указать срок хранения записей аудита, соответствующих политике, и уровень приоритета. Это позволяет определенным политикам получать приоритет над другими политиками.

Любая настраиваемая политика хранения журнала аудита имеет приоритет над политикой хранения аудита по умолчанию, если необходимо хранить записи аудита Exchange, SharePoint или Microsoft Entra менее года (или до 10 лет) для некоторых или всех пользователей в вашей организации.

Предостережение

Все данные журнала аудита, на которые распространяется политика 10-летнего срока хранения журналов аудита, созданные после того, как возможность стала общедоступной в последний квартал 2020 года, будут храниться в течение 10 лет. Сюда относятся политики 10-летнего срока хранения журналов аудита, которые были созданы до выпуска в продажу требуемой дополнительной лицензии в марте 2021 г. Тем не менее, поскольку дополнительная лицензия на 10-летний срок хранения журналов аудита уже доступна, потребуется приобрести и назначить эти дополнительные лицензии для всех пользователей, чьи данные аудита хранятся согласно политике 10-летнего срока хранения журналов аудита.

События аудита (Премиум)

Аудит (Премиум) помогает организациям проводить судебные расследования и расследования относительно соответствия требованиям, предоставляя доступ к важным событиям, таким как:

• обращения к элементам почты;
• ответы на элементы электронной почты и их пересылка;
• факт поиска в Exchange Online и SharePoint Online и цель поиска.

Эти события могут помочь исследовать возможные нарушения безопасности и определить масштаб угрозы. Наряду с этими событиями в Exchange и SharePoint существуют события в других службах Microsoft 365, которые также считаются важными. Для этих событий также требуется, чтобы пользователям была назначена соответствующая лицензия аудита (Премиум).

Важно!

Пользователям должна быть назначена лицензия на аудит (Премиум), чтобы журналы аудита создавались, когда пользователи выполняют эти события.

Аудит (Премиум) предоставляет следующие новые события, каждое из которых представлено в следующих разделах:

• Событие MailItemsAccessed
• Событие Send
• Событие SearchQueryInitiatedExchange
• Событие SearchQueryInitiatedSharePoint
• Другие события аудита (Премиум) в Microsoft 365

Примечание.

Эти новые события в событиях аудита (Премиум) доступны в API действий управления Office 365. Пока записи аудита создаются для пользователей с соответствующей лицензией, вы сможете получить доступ к этим записям через API действий управления Office 365.

Событие MailItemsAccessed

Событие MailItemsAccessed — это действие аудита почтового ящика. Оно запускается, когда к данным почты обращаются почтовые протоколы и почтовые клиенты. Это событие помогает исследователям выявить нарушение безопасности данных и определить объем сообщений, которые могли быть скомпрометированы. Если злоумышленник получил доступ к сообщениям электронной почты, действие MailItemsAccessed будет запущено, даже если нет явного сигнала о том, что сообщения были прочитаны. Другими словами, в записи аудита указывается тип доступа, такой как привязка или синхронизация.

Событие MailItemsAccessed заменяет MessageBind в журнале аудита почтовых ящиков в Exchange Online. Оно предоставляет следующие улучшения.

• MessageBind можно было настроить только для типа входа пользователя AuditAdmin. Он не применялся к действиям делегата или владельца.
  • Улучшение. MailItemsAccessed применяется ко всем типам входа.
• Действие MessageBind охватывает только доступ почтовым клиентом. Оно не применяется к действиям синхронизации.
  • Улучшение. События MailItemsAccessed запускаются с помощью доступа привязки и синхронизации.
• При обращении к одному сообщению электронной почты действия MessageBind запускали создание нескольких записей аудита. Это приводило к "шуму" в аудите.
  • Улучшение. Агрегирование событий MailItemsAccessed выполняется в меньшем количестве записей аудита.

Чтобы найти записи аудита о MailItemsAccessed, организации могут выполнить поиск по действию Доступ к элементам почтового ящика в раскрывающемся списке «Действия для почтового ящика Exchange» в разделе «Инструмент поиска в журнале аудита» на портале соответствия требованиям Microsoft Purview.

Кроме того, можно запустить команду Search-UnifiedAuditLog -Operations MailItemsAccessed или Search-MailboxAuditLog -Operations MailItemsAccessed в Exchange Online PowerShell.

Событие Send

Событие Send — это еще одно действие аудита почтового ящика. Оно активируется, когда пользователь выполняет одно из следующих действий.

• Отправляет сообщение электронной почты.
• Отвечает на сообщение электронной почты.
• Пересылает сообщение электронной почты.

Следователи могут использовать событие Send для определения сообщений, отправленных из скомпрометированной учетной записи. Запись аудита для события Send содержит сведения о сообщении, такие как:

• время отправки сообщения;
• идентификатор InternetMessage;
• строку темы;
• наличие вложений в сообщении.

Эти данные аудита помогают следователям определить сведения о сообщениях электронной почты, отправленных из скомпрометированной учетной записи или злоумышленником. Кроме того, следователи могут использовать средство обнаружения электронных данных Microsoft 365 для поиска сообщения (используя строку темы или идентификатор сообщения). Это позволяет им определить получателей сообщения и фактическое содержимое отправленного сообщения.

Чтобы найти записи аудита о Send, можно выполнить поиск по действию Отправленное сообщение в раскрывающемся списке «Действия для почтового ящика Exchange» в разделе «Инструмент поиска в журнале аудита» на портале соответствия требованиям Microsoft Purview.

Кроме того, можно запустить команду Search-UnifiedAuditLog -Operations Send или Search-MailboxAuditLog -Operations Send в Exchange Online PowerShell.

Событие SearchQueryInitiatedExchange

Событие SearchQueryInitiatedExchange инициируется, когда кто-нибудь использует Outlook для поиска элементов в почтовом ящике. События инициируются при выполнении поисковых запросов в следующих средах Outlook.

• Outlook (классический клиент)
• Outlook в Интернете (OWA)
• Outlook для iOS
• Outlook для Android
• Приложение "Почта" для Windows 10

Следователи могут использовать событие SearchQueryInitiatedExchange, чтобы определить, пытался ли злоумышленник (который скомпрометировал учетную запись) получить доступ к конфиденциальной информации в почтовом ящике. Запись аудита для события SearchQueryInitiatedExchange содержит такие сведения, как фактический текст поискового запроса. Запись аудита также указывает среду Outlook, в которой выполняется поиск. Просматривая поисковые запросы, которые мог выполнить злоумышленник, следователь может лучше понять цели поиска данных электронной почты.

Чтобы найти записи аудита о SearchQueryInitiatedExchange, можно выполнить поиск по действию Выполненные поисковые запросы в электронной почте в раскрывающемся списке «Действия поиска» в разделе «Инструмент поиска в журнале аудита» на портале соответствия требованиям Microsoft Purview.

В Exchange Online PowerShell также можно выполнить Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange.

Необходимо включить запись SearchQueryInitiatedExchange для поиска этого события в журнале аудита.

Событие SearchQueryInitiatedSharePoint

Событие SearchQueryInitiatedSharePoint похоже на поиск элементов почтового ящика. Оно активируется, когда пользователь выполняет поиск элементов в SharePoint. События инициируются при выполнении поисковых запросов на корневой странице или странице по умолчанию сайтов SharePoint следующих типов:

• Домашние сайты
• Информационные сайты
• Центральные сайты
• Сайты, связанные с Microsoft Teams

Следователи могут использовать событие SearchQueryInitiatedSharePoint, чтобы определить, пытался ли злоумышленник найти (и успешно ли) конфиденциальную информацию в SharePoint. Запись аудита для события SearchQueryInitiatedSharePoint содержит фактический текст поискового запроса. Запись аудита также указывает на тип сайта SharePoint, на котором выполнялся поиск. Просматривая поисковые запросы, которые мог выполнить злоумышленник, следователь может лучше понять назначение и объем файловых данных, которые злоумышленник искал.

Чтобы найти записи аудита SearchQueryInitiatedSharePoint, можно выполнить поиск по действию Выполненные поисковые запросы SharePoint в раскрывающемся списке «Действия поиска» в разделе «Инструмент поиска в журнале аудита» на портале соответствия требованиям Microsoft Purview.

В Exchange Online PowerShell также можно выполнить Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint.

Примечание.

Необходимо включить запись SearchQueryInitiatedSharePoint для поиска этого события в журнале аудита.

Другие события аудита (Премиум) в Microsoft 365

Помимо событий в Exchange Online и SharePoint Online, существуют события в других службах Microsoft 365, которые регистрируются, когда пользователям назначается соответствующая лицензия аудита (Премиум). Следующие службы Microsoft 365 предоставляют события аудита (Премиум). Щелкните соответствующую ссылку, чтобы перейти к статье, в которой определены и описаны эти события.

• Microsoft Forms
• Microsoft Stream
• Microsoft Teams
• Yammer

Доступ с высокой пропускной способностью к API действий управления Office 365

К организациям, которые ранее обращались к журналам аудита с помощью API действий управления Office 365, применялись ограничения регулирования на уровне издателя. В результате для издателей, которые извлекали данные от имени нескольких клиентов, ограничение распространялось на всех этих клиентов.

С выпуском аудита (Премиум) выполнен переход Microsoft 365 от ограничения на уровне издателя к ограничению на уровне клиента. В результате каждая организация будет иметь собственную полностью выделенную квоту пропускной способности для доступа к данным аудита. Пропускная способность не является статическим предопределенным ограничением. Наоборот, она моделируется в зависимости от сочетания факторов. Эти факторы включают в себя количество рабочих мест в организации, а также тот факт, что пропускная способность организаций E5/A5/G5 будет превышать пропускную способность организаций, не относящихся к E5/A5/G5.

Для всех организаций изначально выделяется базовый уровень 2 000 запросов в минуту. Это ограничение будет динамически увеличиваться в зависимости от числа рабочих мест в организации и их подписок на лицензии. Организации E5/A5/G5 получат примерно вдвое большую пропускную способность, чем организации без плана E5/A5/G5. Для обеспечения нормальной работы службы также применяется ограничение максимальной пропускной способности.

Дополнительные сведения. Дополнительные сведения см. в разделе "Регулирование API" статьи Справочник по API действий управления Office 365.

Проверка знаний

Выберите лучший ответ на каждый из приведенных ниже вопросов.

Проверьте свои знания

1.

Компания Fabrikam внедрила аудит Microsoft Purview (Премиум). Теперь она хочет создать соответствующие политики хранения журналов аудита в течение 10 лет для руководителей своих групп безопасности и соответствия требованиям. Что должна сделать компания Fabrikam, чтобы воспользоваться этой функцией?

Настройка параметра журнала аудита с 10-летним периодом хранения на портале соответствия требованиям Microsoft Purview

Приобретение дополнительных лицензий на пользователя для каждого менеджера

Дополнительные требования отсутствуют, так как при наличии лицензии аудита (Премиум) журналы аудита по умолчанию хранятся в течение 10 лет

Вы должны ответить на все вопросы перед проверкой.