介绍 Microsoft Purview 中的审核

已完成

Microsoft Purview 中的审核解决方案可帮助组织有效地响应安全事件、法医鉴定、内部调查和合规义务。 在组织的统一审核日志中捕获、记录并保留在数十个 Microsoft 365 服务和解决方案以及 Security Copilot(如果已启用)中执行的数以千计的用户和管理员操作。 组织中的安全操作人员、IT 管理员、内部风险团队以及合规性和法律调查员可以搜索这些事件的审核记录。 此功能提供对跨 Microsoft 365 组织执行的活动的可见性。

Microsoft Purview 提供了两种审核解决方案:

  • 审核(标准)
  • 审核(高级)

审核(标准)

审核(标准版)默认为所有具有相应订阅的组织启用,并且向具有相应权限的用户提供。 当用户或管理员执行已审核的活动时,系统会生成审核记录,并将其存储在组织的审核日志中。 在审核(标准版)中,记录将保留 180 天。 可以使用以下方法检索组织中大多数 Microsoft 365 服务的审核日志:

  • Microsoft Purview 门户中的审核日志搜索工具。
  • Office 365 管理活动 API
  • Exchange Online PowerShell 中的 Search-UnifiedAuditLog cmdlet

搜索审核日志后,可以将搜索返回的审核记录导出为 CSV 文件,以便使用 Microsoft Excel 或 Excel Power Query 进行进一步分析。

审核(高级)

审核(高级版)基于审核(标准版)的功能构建,提供了审核日志保留策略、更长的审核记录保留期、高价值的智能见解以及针对 Office 365 管理活动 API 的更高带宽的访问。

  • 审核日志保留策略。 可以创建自定义审核日志保留策略,以将审核记录保留更长的时间,最长可达 1 年(对于具有所需的附加许可证的用户,可保留长达 10 年)。
  • 审核记录被延长的保留。 默认情况下,Microsoft Entra ID、Exchange、OneDrive 和 SharePoint 审核记录将保留一年。 默认情况下,所有其他活动的审核记录将保留 180 天,你也可以使用审核日志保留策略来配置更长的保留期。
  • 审核(高级版)智能见解。 用于智能见解的审核记录可以提供事件的可见性,如访问邮件项目的时间、答复和转发邮件项目的时间,或者用户在 Exchange Online 和 SharePoint Online 中进行搜索的时间和内容,从而帮助组织进行取证和合规性调查。 这些智能见解可帮助调查可能可能的安全漏洞,并确定受影响的范围。
  • Office 365管理活动API的更高带宽。 审核(高级)为组织提供了更多的带宽来通过 Office 365 管理活动 API 访问审核日志。

许可

审核(标准版)或审核(高级版)的许可需要适当的组织级订阅和相应的每个用户许可。 有关许可要求的更多信息,请访问摘要和资源单元中的“了解详细信息”部分。

Microsoft Purview 中 Security Copilot 审核日志

Security Copilot 中的审核日志记录功能使用 Microsoft Purview 来处理和存储管理员操作、用户操作和 Copilot 响应。 这包括来自任何 Microsoft 和非 Microsoft 集成的数据。

从 Microsoft Security Copilot 门户(独立体验)中,Copilot 负责人可以选择允许 Microsoft Purview 从 Security Copilot 服务访问、处理、复制和存储客户数据。 在 Copilot 中启用此功能后,如果组织已在使用 Microsoft Purview,则无需执行进一步操作。 所有 Microsoft 365 组织默认开启审核日志记录。 但是,在设置新的 Microsoft 365 组织时,应验证组织的审核状态。 如果组织尚未使用 Microsoft Purview,则需要预配审核日志记录。 请参阅启用或禁用审核,了解详细信息。

Microsoft Purview 将客户数据存储在与 Microsoft 365 数据相同的区域。 请参阅 Microsoft Security Copilot 的隐私和数据安全性,了解详细信息。