Реализация аудита Microsoft Purview (премиум)

  • 3 мин

Если у организации есть подписка и лицензия конечных пользователей, поддерживающие аудит (премиум), она должна выполнить следующие действия, чтобы настроить и использовать возможности аудита (премиум).

Схема, показывающая рабочий процесс для настройки аудита Microsoft Purview (премиум).

Шаг 1. Настройка аудита (премиум) для пользователей

Для функций аудита (премиум) требуется соответствующая лицензия E5, назначенная пользователям. Для этих пользователей также должен быть включен план приложения или службы "Расширенный аудит". Чтобы убедиться, что пользователям назначено приложение расширенного аудита, выполните следующие действия для каждого пользователя.

  1. В Центре администрирования Microsoft 365 в области навигации выберите пункт Пользователи, а затем — Активные пользователи.
  2. На странице Активные пользователи выберите пользователя.
  3. На всплывающей странице свойств пользователя выберите вкладку Лицензии и приложения.
  4. Проверьте в разделе Лицензии, что пользователю назначена лицензия E5 или соответствующая лицензия надстройки. Список лицензий, поддерживающих аудит (премиум), см. в разделе Требования к лицензированию аудита (премиум).
  5. Разверните раздел Приложения. Проверьте, что установлен флажок Расширенный аудит Microsoft 365. Если он не выбран, выберите его, а затем нажмите Сохранить изменения.

Регистрация записей аудита для событий MailItemsAccessed и Send начнется в течение 24 часов. Организация должна выполнить шаг 4, чтобы запустить ведение журнала двух других событий аудита (премиум):

  • SearchQueryInitiatedExchange
  • SearchQueryInitiatedSharePoint

Кроме того, если вы настроили действия с почтовыми ящиками, которые проходят аудит в почтовых ящиках пользователей или общих почтовых ящиках, все новые события аудита (премиум), выпущенные корпорацией Майкрософт, не будут автоматически проходить аудит в этих почтовых ящиках.

Дополнительные сведения. Сведения об изменении действий с почтовыми ящиками, аудит которых проводится для каждого типа входа, см. в разделе "Изменение или восстановление действий с почтовыми ящиками, зарегистрированных по умолчанию" статьи Управление аудитом почтовых ящиков.

Шаг 2. Включение событий аудита (премиум)

Необходимо включить ведение журнала следующих событий аудита (премиум), чтобы пользователи могли выполнять поиск в Exchange Online и SharePoint Online:

  • SearchQueryInitiatedExchange
  • SearchQueryInitiatedSharePoint

Чтобы включить аудит этих двух событий для пользователей, выполните следующую команду (для каждого пользователя) в Exchange Online PowerShell:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

В среде с поддержкой нескольких регионов необходимо выполнить предыдущую команду Set-Mailbox в лесу доменов, в котором находится почтовый ящик пользователя.

Чтобы определить расположение почтового ящика пользователя, выполните следующую команду:

Get-Mailbox <user identity> | FL MailboxLocations

Если почтовый ящик пользователя находится в лесу доменов, отличном от того, в котором ранее выполнялась команда для включения аудита поисковых запросов, необходимо удалить значение SearchQueryInitiated из почтового ящика пользователя, выполнив следующую команду:

Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}

Затем необходимо добавить значение SearchQueryInitiated в почтовый ящик пользователя в лесу, где находится почтовый ящик пользователя.

Шаг 3. Настройка политик хранения аудита

Политика хранения по умолчанию в audit (premium) сохраняет записи аудита Exchange, SharePoint и Microsoft Entra в течение одного года. Организация может создать другие политики хранения журналов аудита, которые необходимы для подразделений информационной безопасности, ИТ и контроля соответствия требованиям.

Дополнительные сведения см. в следующем разделе, посвященном управлению политиками хранения журналов аудита.

Шаг 4. Поиск событий аудита (премиум)

Теперь, когда вы настроили аудит (премиум) для организации, вы можете искать важные события аудита (премиум) и другие действия при проведении судебной экспертизы. Выполнив шаги 1 и 2, вы можете выполнить поиск событий и других действий в журнале аудита (премиум) в процессе судебной экспертизы скомпрометированных учетных записей и в ходе других типов исследований в области безопасности и соответствия требованиям.

Дополнительные сведения о проведении судебной экспертизы скомпрометированных учетных записей пользователей с помощью события аудит (премиум) MailItemsAccessed см. в заключительном разделе этого модуля, посвященном экспертизе скомпрометированных учетных записей.