简介
本模块探讨 Microsoft Purview Audit (Premium) 中的关键功能。 审核(高级)基于审核(标准)功能。 高级审核以基本审核功能为基础,提供审核日志保留策略、较长的审核记录保留时间、高价值关键事件,以及对于 Office 365 管理活动 API 的更高带宽访问。
该模块首先检查审核(高级版)的设置要求。 设置基本上是维护适当的组织订阅和用户许可的问题。 然后,你将查看审核(标准)和审核(高级)之间的主要差异。 审核(高级版)的主要功能之一是,它可以通过提供对重要事件的访问权限来帮助组织执行取证和合规性调查,例如:
- 访问邮件项时。
- 答复和转发邮件项目时。
- 何时以及用户在 Exchange Online 和 SharePoint Online 中搜索的内容。
这些事件可帮助你调查可能的违规,并确定泄露的范围。
然后,该模块将检查如何实现审核(高级)。 你将查看构成此工作流的以下步骤:
- 为用户设置审核(高级)。
- 启用关键事件的日志记录。
- 创建审核日志保留策略。
- 执行取证调查。
然后,该模块将重点介绍此工作流中的最后两个活动 - 设置审核日志保留策略和调查被盗用的帐户。
本模块结束时,你应该能够:
- 描述审核(标准)和审核(高级)之间的差异。
- 设置并实现 Microsoft Purview Audit (Premium)。
- 创建审核日志保留策略。
- 对被盗用的用户帐户执行取证调查。