通过

在 Microsoft Teams 中搜索审核日志查找事件

  • 项目
  • 适用于:
    Microsoft Teams

重要

Microsoft Teams 管理中心正在逐步取代Skype for Business管理中心,我们将从Microsoft 365 管理中心将 Teams 设置迁移到该管理中心。 如果已迁移设置,你将看到一条通知,然后定向到设置在 Teams 管理中心中的位置。 有关详细信息,请参阅 在过渡到 Teams 管理中心期间管理 Teams

审核日志可帮助你调查跨Microsoft服务的特定活动。 对于Microsoft Teams,下面是一些已审核的活动:

  • 团队创建
  • 团队删除
  • 已添加频道
  • 已删除频道
  • 已更改的频道设置

有关审核的 Teams 活动的完整列表,请参阅 审核日志中的 Teams 活动

注意

还会记录来自专用频道的审核事件,因为它们适用于团队和标准频道。

在 Teams 中启用审核

必须先在 Microsoft Purview 门户或Microsoft Purview 合规门户中启用审核,然后才能查看审核数据。 有关详细信息,请参阅 打开或关闭审核

重要

审核数据仅在启用审核时可用。

从审核日志中检索 Teams 数据

若要检索 Teams 活动的审核日志,请使用 Microsoft Purview 门户或合规性门户。 有关分步说明,请参阅 搜索审核日志

重要

仅当审核处于打开状态时,审核数据才显示在审核日志中。

审核记录在审核日志中保留和可搜索的时间长度取决于Microsoft 365 或Office 365订阅,特别是分配给用户的许可证类型。 若要了解详细信息,请参阅 安全 & 合规中心服务说明

有关搜索审核日志的提示

下面是在审核日志中搜索 Teams 活动的提示。

  • 可以通过单击一个或多个活动旁边的复选框来选择要搜索的特定活动。 如果选择了某活动,可以选择该活动以取消选择。 还可以使用搜索框显示包含所键入关键字的活动。

  • 若要显示使用 cmdlet 运行的活动的事件,请在“活动”列表中选择“显示所有活动的结果”。 如果知道这些活动的作名称,请在搜索框中键入它以显示活动,然后选择它。

  • 若要清除当前搜索条件,请选择“ 全部清除”。 日期范围返回到默认值(过去七天)。

  • 如果找到了 5,000 条结果,则可以假定可能存在超过 5,000 个符合搜索条件的事件。 可以优化搜索条件并重新运行搜索以返回更少的结果,也可以通过选择“导出>下载所有结果”来导出所有搜索结果。 有关导出审核日志的分步说明,请参阅 搜索审核日志

查看 此视频 ,了解如何使用音频日志搜索。 加入 Teams 项目经理 Ansuman Acharya,他演示了如何对 Teams 执行审核日志搜索。

Teams 活动

有关在 Microsoft 365 审核日志中为 Teams 中的用户和管理员活动记录的所有事件的列表,请参阅:

Office 365 管理活动 API

可以使用Office 365管理活动 API 来检索有关 Teams 事件的信息。 若要详细了解 Teams 的管理活动 API 架构,请参阅 Teams 架构

Teams 审核日志中的属性

对 Teams ((例如通过) Microsoft Entra ID、Microsoft 365 管理门户或Microsoft 365 组 图形 API添加或删除的用户)的成员身份更改将显示在 Teams 审核消息和常规频道中,其中具有团队现有所有者的归属,而不是作的实际发起者。 在这些情况下,请参阅Microsoft Entra ID或Microsoft 365 组审核日志以查看相关信息。

使用Defender for Cloud Apps设置活动策略

使用Microsoft Defender for Cloud Apps集成,可以设置活动策略,以使用应用提供程序的 API 强制实施各种自动化过程。 这些策略使你能够监视各种用户执行的特定活动,或遵循特定类型活动的意外高速率。

设置活动检测策略后,它开始生成警报。 仅针对创建策略后发生的活动生成警报。 下面是有关如何使用Defender for Cloud Apps中的活动策略监视 Teams 活动的一些示例方案。

外部用户方案

从业务角度来看,你可能希望关注的一个方案是向 Teams 环境添加外部用户。 如果启用了外部用户,则监视其状态是一个好主意。 可以使用Defender for Cloud Apps来识别潜在威胁。

用于监视添加外部用户的策略

用于监视添加外部用户的此策略的屏幕截图允许你命名策略、根据业务需求设置严重性、在本例中将其设置为 () 单个活动,然后建立将专门监视非内部用户的添加的参数,并将此活动限制为 Teams。

可以在活动日志中查看此策略的结果:

外部用户策略触发的事件

在这里,可以查看与已设置的策略的匹配项,并根据需要进行任何调整,或导出结果以在其他地方使用。

批量删除方案

如前所述,可以监视删除方案。 可以创建一个策略来监视 Teams 网站的批量删除。 在此示例中,基于警报的策略设置为在 30 分钟内检测团队的大规模删除。

显示为批量团队删除检测设置策略的策略的策略

如屏幕截图所示,你可以为此策略设置许多不同的参数来监视 Teams 删除,包括严重性、单一作或重复作,以及限制为 Teams 和网站删除的参数。 这可以独立于模板完成,也可以创建模板来基于此策略,具体取决于组织需求。

建立适用于业务的策略后,可以在触发事件时查看活动日志中的结果:

批量删除触发的事件的屏幕截图

可以向下筛选到已设置的策略,以查看该策略的结果。 如果你在活动日志中获取的结果不尽如人意 (可能看到大量结果,或者没有任何) ,这可能有助于微调查询,使其与需要执行的作更相关。

警报和治理方案

触发活动策略时,可以设置警报并向管理员和其他用户发送电子邮件。 可以设置自动化治理作,例如暂停用户或让用户以自动方式重新登录。 此示例演示如何在触发活动策略时暂停用户帐户,并确定用户在 30 分钟内删除了两个或更多团队。

活动策略的警报和治理作的屏幕截图。

使用Defender for Cloud Apps设置异常情况检测策略

Defender for Cloud Apps中的异常情况检测策略 (UEBA) 和机器学习 (ML) 提供现装的用户和实体行为分析,以便可以跨云环境立即运行高级威胁检测。 由于它们会自动启用,因此新的异常情况检测策略通过提供即时检测来提供即时结果,针对用户以及连接到网络的计算机和设备中的大量行为异常。 此外,新策略会公开来自Defender for Cloud Apps检测引擎的更多数据,以帮助你加快调查过程并遏制持续的威胁。

我们正在努力将 Teams 事件集成到异常情况检测策略中。 现在,你可以为其他 Office 产品设置异常情况检测策略,并针对与这些策略匹配的用户执行作项目。