访问Security Copilot审核日志

在当今严格的法规环境中，组织必须监视和分析用户与安全产品的交互方式。 组织可能需要跟踪平台上的操作、事务和配置设置，以确保它们符合合规性法规和法规标准。

Security Copilot通过 Microsoft Purview 和 Office 管理 API 提供对审核日志的访问，以帮助满足合规性和法规要求。 审核日志可让你查看管理事件和活动元数据等信息。

• 管理员事件 - 特权操作，例如租户级设置的更改或管理更改 (例如数据共享、插件和提示簿配置) 。

• 活动元数据 - Security Copilot平台中用户交互的日志 (例如，用户在特定时间询问了一个提示，并提供了有关活动类型) 的信息。

注意

这不包括客户内容，例如实际提示和响应。

通过跟踪这些交互，可以识别风险并保护生产数据。

在 Security Copilot 中启用审核日志功能

在第一次运行体验期间，安全管理员可以选择允许 Microsoft Purview 访问、处理、复制和存储管理员操作、用户操作和 Copilot 响应。 有关详细信息，请参阅Security Copilot入门。

安全管理员还可以通过“所有者设置”页访问此选项。 有关详细信息，请参阅了解身份验证。

在大多数情况下，启用此功能后，Microsoft Purview 中的日志在 24 小时内可用。

使用以下步骤更新审核日志设置：

1. 登录到 Security Copilot (https://securitycopilot.microsoft.com) 。

2. 选择主菜单图标。

3. 导航到 Microsoft Purview 中的 “所有者”设置>“”日志记录审核数据”。

   

   重要

   Microsoft Purview 会将客户数据存储在存储Microsoft 365 数据的区域。 有关详细信息，请参阅 隐私和数据安全。 审核日志的默认保留期为 180 天，但可以使用审核日志保留策略进行延长。 有关详细信息，请参阅管理审核日志保留策略。

4. 可以打开或关闭开关。

访问 Microsoft Purview for Security Copilot 中的审核日志

开始之前

本部分概述了访问审核日志的先决条件。

你将需要：

• 验证是否已选择在 Security Copilot 内允许Microsoft Purview 访问。 有关详细信息，请参阅 启用审核日志功能。
• 验证是否在 Microsoft Purview 中启用了审核日志功能。 有关详细信息，请参阅 搜索审核日志之前。

注意

你需要具有正确的权限才能访问 purview Microsoft 中的审核日志。 有关详细信息，请参阅 Microsoft Purview 门户中的权限。 请注意，这些访问权限可能与Security Copilot中的访问权限不同。

用于访问审核日志的选项

可以执行以下操作来访问 Microsoft Purview 中的审核日志：

• 搜索审核日志 - 文章提供了有关如何访问和搜索审核日志事件数据以获取见解和进一步调查用户活动的说明。
• 搜索审核日志活动 - 描述审核日志中捕获的活动的文章。
• 使用 PowerShell 脚本搜索审核日志 - 文章介绍了如何运行 PowerShell 脚本来搜索审核日志以帮助调查安全事件和合规性问题。
• 使用Security Copilot和Microsoft Sentinel监视用户活动和系统事件 - 博客提供了有关如何利用向云本机 SIEM 发送Security Copilot审核日志来深入了解使用情况并采取主动措施来降低风险的见解。