了解 Microsoft Purview 中的审核解决方案
Microsoft Purview 审核解决方案提供集成解决方案,以帮助组织有效响应安全事件、取证调查、内部调查和合规责任。 在数十个Microsoft服务和解决方案中执行的数千个用户和管理员操作将捕获、记录并保留在组织的统一审核日志中。 这些事件的审核记录通过安全运营、IT 管理员、预览体验计划团队以及合规与法律支持人员进行搜索。 此功能提供在整个组织中执行的活动的可见性。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。
比较关键功能
下表比较了审核(标准)和审核(高级)中提供的关键功能。 审核(高级)中包含所有审核(标准)功能。
功能 | 审核(标准) | 审核(高级) |
---|---|---|
默认情况下启用 | ||
数千个可搜索的审核事件 | ||
Microsoft Purview 门户和合规性门户中的审核搜索工具 | ||
审核搜索图形 API | ||
Search-UnifiedAuditLog cmdlet | ||
将审核记录导出到 CSV 文件 | ||
通过 Office 365 管理活动 API 1 访问审核日志 | ||
180 天的审核日志保留期 | ||
1 年审核日志保留期 | ||
10 年审核日志保留期 2 | ||
审核日志保留策略 | ||
智能见解 |
注意
1 审核(高级)包括对 Office 365 管理活动 API 的更高带宽访问,可更快地访问审核数据。
2 除了下一部分) 中所述的审核 (高级版) (所需的许可外,还必须向用户分配 10 年审核日志保留附加许可证才能将其审核记录保留 10 年。
审核(标准)
Microsoft Purview 审核(标准),可以记录和搜索经审核的活动,并支持法务、IT、合规性和法律调查。
默认情况下启用。 默认为具有适当订阅的所有组织启用审核(标准)。 这意味着会捕获和搜索已审核活动的记录。 唯一需要的设置是分配访问审核日志搜索工具(和相应的 cmdlet)所需的权限,并确保为用户分配了适用于 Microsoft Purview 审核(标准)功能的适当许可证。
数以千计的可搜索审计事件。 可以搜索组织中大多数Microsoft服务所发生的各种已审核活动。 有关可搜索的活动的列表,请参阅 审核日志活动。 有关支持经审核活动的服务和功能的列表,请参阅 审核日志记录类型。
Microsoft Purview 门户或合规性门户中的审核搜索工具。 使用门户中的审核日志搜索工具搜索审核记录。 可以搜索特定活动、特定用户执行的活动以及按日期范围发生的活动。
审核搜索图形 API。 Microsoft Graph 提供统一的 API 终结点,用于在单个响应中访问来自多个Microsoft云服务的数据。 审核搜索图形 API允许你通过 Microsoft Graph 以编程方式访问审核搜索体验。
Search-UnifiedAuditLog cmdlet. 您也可以在 Exchange Online PowerShell(搜索工具的基础 cmdlet)中使用 Search-UnifiedAuditLog cmdlet 来搜索审核事件或在脚本中使用。 有关详细信息,请参阅:
将审核记录导出为 CSV 文件。 在 Microsoft Purview 门户或合规性门户中运行审核日志搜索工具后,可以将搜索返回的审核记录导出到 CSV 文件。 这将允许对不同的审核记录属性使用 Microsoft Excel 排序和筛选。 还可使用 Excel Power Query 转换功能将 AuditData JSON 对象中的每个属性拆分为其自己的列。 通过此操作可有效查看和比较不同事件的类似数据。 有关详细信息,请参阅导出、配置和查看审核日志记录。
通过Office 365管理活动API访问审核日志。 用于访问和检索审核记录的第三种方法就是使用 Office 365 管理活动 API。 这样,组织就可以将审核数据保留比默认的 180 天更长的时间,并允许将审核数据导入到 SIEM 解决方案。 有关详细信息,请参阅 Office 365 管理活动 API 参考。
180 天的审核日志保留期。 当用户或管理员执行审核活动时,将生成审核记录并将其存储在组织的审核日志中。 在“审核 (Standard) ”中,记录将保留 180 天,这意味着你可以搜索过去六个月内发生的活动。
重要
审核 (Standard) 的默认保留期已从 90 天更改为 180 天。 2023 年 10 月 17 日之前生成的审核 (Standard) 日志将保留 90 天。 在 2023 年 10 月 17 日或之后生成的审核 (Standard) 日志遵循新的默认保留期 180 天。
审核(高级)
重要
经典搜索已于 2023 年 11 月 30 日停用。 新的搜索 包括增强功能,例如更快的搜索时间、其他搜索选项、保存搜索的功能等。
审核 (Premium) 通过提供审核日志保留策略、更长的审核记录保留期、高价值的智能见解和对Office 365管理活动 API 的更高带宽访问,以审核 (Standard) 的功能为基础。
- 审核日志保留策略。 可创建自定义审核日志保留策略,将审核记录保留更长一年(对于需要附加设备许可证的用户,最多保留 10 年)。 可创建一个策略,以保留基于被审核活动、经审核的特定活动或执行经审核活动的用户的服务的审核记录。
- 审核记录被延长的保留。 默认情况下,Microsoft Entra ID、Exchange、OneDrive 和 SharePoint 审核记录将保留一年。 默认情况下,所有其他活动的审核记录将保留 180 天,也可以使用审核日志保留策略来配置更长的保留期。
- 审核 (Premium) 智能见解。 智能见解的审核记录可以通过提供事件可见性来帮助组织进行取证和合规性调查,例如访问邮件项目的时间、邮件项目的回复和转发时间,或者用户在 Exchange Online 和 SharePoint Online 中搜索的时间和内容。 这些智能见解可帮助你调查可能的违规行为并确定入侵范围。
- Office 365管理活动API的更高带宽。 审核(高级)为组织提供了更多的带宽来通过 Office 365 管理活动 API 访问审核日志。 虽然所有组织(具有审核(标准)或审核(高级))最初都分配了每分钟 2,000 个请求的基线,但根据组织的席位数及其许可订阅,此限制将动态增加。 这导致采用审核(高级)的组织获得的带宽是采用审核(标准)的组织的两倍。
长期保留审核日志
审核 (Premium) 将所有 Exchange、SharePoint 和Microsoft Entra审核记录保留一年。 这是通过默认审核日志保留策略实现的,该策略将包含 AzureActiveDirectory、 Exchange、 OneDrive 或 SharePoint 值的任何审核记录保留为 Workload 属性 (,指示活动发生服务) 一年。 长期保留审计记录,可以帮助进行取证或合规性调查。 有关详细信息,请参阅“管理审核日志保留策略”中的“默认审核日志保留策略”。
除了审核 (Premium) 的一年保留功能外,我们还发布了将审核日志保留 10 年的功能。 保留审核日志 10 年有助于对长期调查提供支持,并对监管、法律和内部义务作出响应。
注意
将审核日志保留 10 年需要额外的每用户附加许可证。 将此许可证分配给用户并为其设置适当的 10 年审核日志保留策略后,该策略涵盖的审核日志开始保留 10 年。 此策略不是追溯性的,不能保留在创建 10 年审核日志保留策略之前生成的审核日志。
审核日志保留策略
在上一节中所述的默认审核日志保留策略未涵盖的其他服务中生成的所有审核记录 (,) 将保留 180 天。 但是,现在可创建自定义审核日志保留策略,以保留其它审核记录长达 10 年。 可基于下列一个或多个条件创建保留审核记录的策略:
发生审核活动的Microsoft服务。
特定的审核活动。
执行审核活动的用户。
重要
审核 (Standard) 的默认保留期已从 90 天更改为 180 天。 2023 年 10 月 17 日之前生成的审核 (Standard) 日志将保留 90 天。 在 2023 年 10 月 17 日或之后生成的审核 (Standard) 日志遵循新的默认保留期 180 天。 还可以指定保留与策略和优先级匹配的审核记录的时长,以便特定策略优先于其他策略。 另请注意,如果需要将 Exchange、SharePoint 或 Azure Active Directory 审核记录保留不到一年, (或组织中部分或所有用户) 10 年,则任何自定义审核日志保留策略都优先于默认审核保留策略。 有关详细信息,请参阅管理审核日志保留策略。
重要
数据的审核项生存期在添加到审核管道时确定,并且基于许可默认值或适用的保留策略。 对许可或适用保留策略的任何更改会更改更新后的审核数据的过期时间。 这些更改不会更改任何以前提交的项。
审核 (Premium) 活动属性
审核(高级版)通过提供对重要事件(例如何时访问邮件项目、何时答复和转发邮件项目以及用户在 Exchange Online 和 SharePoint Online 中进行搜索的时间和内容)的访问权限,帮助组织执行取证和合规性调查。 这些事件可帮助你调查可能的违规,并确定泄露的范围。 除了 Exchange 和 SharePoint 中的这些事件外,其他Microsoft服务中还有一些事件被视为重要事件,并要求为用户分配 适当的审核 (Premium) 许可证。 必须为用户分配审核 (Premium) 许可证,以便在用户执行这些事件时生成审核日志。
这些活动要求为用户分配 相应的审核 (Premium) 许可证。 必须为用户分配审核 (Premium) 许可证,以便在用户执行这些活动和属性时生成审核日志。
审核 (Premium) 提供对以下活动属性的访问权限:
Exchange Online
活动 | 属性 |
---|---|
MailItemsAccessed | 敏感度标签 |
Microsoft Teams
活动 | 属性 |
---|---|
ChatCreated | AppAccessContext |
ChatRetrieved | AppAccessContext |
ChatUpdated | AppAccessContext |
MeetingParticipantDetail | IsJoinedFromLobby ArtifactShared |
MessageCreatedNotification | AppAccessContext |
MessageDeletedNotification | AppAccessContext |
MessageHostedContentsListed | AppAccessContext |
MessageHostedContentRead | AppAccessContext |
MessagesListed | AppAccessContext |
MessageRead | AppAccessContext |
MessageSent | AppAccessContext ParticipatingDomainInformation ParticipantInfo |
MessageUpdated | ParticipantInfo AppAccessContext |
MessageUpdatedNotification | AppAccessContext |
SubscribedToMessages | AppAccessContext |
高带宽访问 Office 365 管理活动 API
通过 Office 365 管理活动 API 访问审核日志的组织,会因发布者级别限制而受限。 这意味着,对于代表多个客户请求数据的发布者而言,限制由所有这些客户共享。
使用 Audit (Premium) ,这已从发布者级别限制更改为租户级别限制。 结果是,每个组织都会获得自己完全分配的带宽配额来访问其审核数据。 带宽不是静态的预定义限制,而是根据多种因素进行建模,包括组织中的席位数以及 E5/A5/G5 组织比非 E5/A5/G5 组织获得更多的带宽。
所有组织最初每分钟分配 2000 个请求基线。 此限制会根据组织的席位计数和许可订阅动态增加。 E5/A5/G5 组织的带宽大约是非 E5/A5/G5 组织的两倍。 最大带宽有一个上限,以保护服务的运行状况。
有关详细信息,请参阅Office 365管理活动 API 参考中的 API限制部分。
许可要求
在开始之前,请查看审核 (Standard) 和审核 (高级) 的订阅要求。
培训
在审核(标准)和审核(高级)的基础上培训安全运营团队、IT 管理员和合规调查团队,可帮助组织更快开始使用审核来帮助完成调查。 Microsoft Purview 提供以下资源来帮助组织中这些用户开始进行审核:描述 Microsoft Purview 的电子数据展示和审核功能。