探索 Microsoft Purview 审核(高级版)

  • 10 分钟

Microsoft Purview 中的审核功能使组织能够查看许多不同 Microsoft 365 服务中多种类型的审核活动。 Microsoft Purview 提供两种审核解决方案:审核(标准)和审核(高级)。

在前面的模块中,你了解到 Microsoft Purview 审核(标准版)为组织提供了记录和搜索已审核活动的能力。 它还使组织能够为其取证、IT、合规性和法律调查提供支持。

在本模块中,你将了解 Microsoft Purview 审核(高级版)基于 Microsoft Purview 审核(标准版)的功能。 它提供了专为执行取证和合规性调查的组织设计的高级功能。 这些功能提供:

  • 增加了执行调查所需的审核日志保留期。
  • 访问有助于确定入侵范围的关键事件。
  • 更高的带宽访问权限,因此可以更快地访问 Office 365 管理活动 API。

本单元概述了审核(高级版)功能。

组织订阅和用户许可

审核(高级版)适用于具有 Office 365 E5/A5/G5 或 Microsoft 365 企业版 E5/A5/G5 订阅的组织。 对于具有 E5/A5/G5 订阅的组织,符合条件的客户和分配了相应 E5/A5/G5 许可证的用户将有权访问审核(高级版)事件。 只有在分配了这些许可证后,才会为具有 E5/A5/G5 许可证的用户生成审核(高级版)事件。

如果要从用户级别审核(高级版)功能中受益,需要向用户分配 E5/A5/G5 许可证。 有些功能会检查是否有相应的许可证,确定后才为用户提供相应功能。 例如,如果未向某个用户分配相应的许可证,而你尝试为其保留审核记录超过 90 天,则系统会返回一条错误消息。

长期保留审核日志

用户或管理员执行审核活动时,将生成审核记录并将其存储在组织的审核日志中。 在 Microsoft Purview 审核 (标准版) 中,审核日志记录将保留 90 天。 相比之下,审核 (Premium) 将所有 Exchange、SharePoint 和Microsoft Entra审核记录保留一年。

审核(高级版)通过实施默认审核日志保留策略来提供此额外的保留时间。 长期保留审计记录,可以帮助进行取证或合规性调查。 有关详细信息,请参阅“管理审核日志保留策略”中的“默认审核日志保留策略”。

注意

除了审核(高级版)的一年保留功能外,Microsoft 365 还可以选择将审核日志保留 10 年。 保留审核日志 10 年有助于对长期调查提供支持,并对监管、法律和内部义务作出响应。 将审核日志保留 10 年需要额外的每用户加载项许可证。 将此许可证分配给用户并为其设置适当的 10 年审核日志保留策略后,该策略涵盖的审核日志开始保留 10 年。 此策略不具有追溯性。 因此不能保留在创建 10 年审核日志保留策略之前生成的审核日志。

审核日志保留策略

默认审核日志保留策略未包含的其它服务中生成的所有审核记录,将保留 90 天。 但是可创建自定义审核日志保留策略,保留其他审核记录长达 10 年。 可基于下列一个或多个条件创建保留审核记录的策略:

  • 发生审核活动的 Microsoft 365 服务。
  • 特定的审核活动。
  • 执行审核活动的用户。

还可以指定保留与策略和优先级匹配的审核记录的时长。 此设计使特定策略优先于其他策略。

如果必须将 Exchange、SharePoint 或Microsoft Entra审核记录保留不到一年, (或组织中部分或所有用户) 最多 10 年,则任何自定义审核日志保留策略都优先于默认审核保留策略。

警告

此功能在2020年最后一个季度正式发布,此后创建的审核日志数据,如果在10年审核日志保留策略涵盖范围内,都将保留 10 年。 此设计包括在 2021 年 3 月所需的附加许可证可以购买之前创建的 10 年审核日志保留策略。 但是,由于 10 年审核日志保留附加许可证现已可以购买,因此必须为审核数据被 10 年审核保留策略涵盖的所有用户购买并分配附加许可证。

审核(高级版)事件

审核(高级版)通过提供对重要事件的访问权限,帮助组织执行取证和合规性调查,例如:

  • 访问邮件项时。
  • 答复和转发邮件项目时。
  • 何时以及用户在 Exchange Online 和 SharePoint Online 中搜索的内容。

这些事件可帮助你调查可能的违规,并确定泄露的范围。 除了 Exchange 和 SharePoint 中的这些事件外,其他 Microsoft 365 服务中的事件也被视为重要事件。 这些事件还要求为用户分配合适的审核(高级版)许可证

重要

必须为用户分配审核(高级版)许可证,以便在用户执行这些事件时生成审核日志。

审核(高级版)提供以下新事件,每个事件都在以下部分中介绍:

  • MailItemsAccessed 事件
  • Send 事件
  • SearchQueryInitiatedExchange 事件
  • SearchQueryInitiatedSharePoint 事件
  • Microsoft 365 中的其他审核(高级版)事件

注意

Office 365 管理活动 API 中提供了审核(高级版)事件中的这些新事件。 只要为具有相应许可证的用户生成了审核记录,你就可以通过 Office 365 管理活动 API 访问这些记录。

MailItemsAccessed 事件

MailItemsAccessed 事件是邮箱审核操作。 邮件数据由邮件协议和邮件客户端访问时触发。 此事件可帮助调查人员识别数据泄露,并确定可能已泄露的邮件的范围。 如果攻击者获得了对电子邮件的访问权限,即使没有读取邮件的显式信号,也会触发 MailItemsAccessed 操作。 换句话说,访问类型(如绑定或同步)记录在审核记录中。

MailItemsAccessed 事件将替换 Exchange Online 中邮箱审核日志记录中的 MessageBind。 它提供以下改进:

  • MessageBind 只能针对 AuditAdmin 用户登录类型进行配置。 它不适用于委托或所有者操作。
    • 改进。 MailItemsAccessed 适用于所有登录类型。
  • MessageBind 只能由邮件客户端覆盖访问。 它不适用于同步活动。
    • 改进。 “绑定”和“同步”访问类型都会触发 MailItemsAccessed 事件。
  • 访问同一封电子邮件时,MessageBind 操作会触发多个审核记录的创建过程。 此设计导致审核“干扰”。
    • 改进。 MailItemsAccessed 事件聚合在较少的审核记录中。

如果要搜索 MailItemsAccessed 审核记录,组织可以在 Microsoft Purview 合规性门户中,通过审核日志搜索工具中的“Exchange 邮箱活动”下拉列表,搜索“访问的邮箱项目”活动。

“搜索”窗口的屏幕截图,其中为“活动”设置选择了“访问的邮箱项目”选项。

此外,还可在 Exchange Online PowerShell 中运行 Search-UnifiedAuditLog -Operations MailItemsAccessedSearch-MailboxAuditLog -Operations MailItemsAccessed 命令。

Send 事件

发送事件是另一个邮箱审核操作。 用户完成以下操作之一时,将触发此操作:

  • 发送电子邮件。
  • 答复电子邮件。
  • 转发电子邮件。

调查人员可使用发送事件识别从被泄露的帐户发送的电子邮件。 发送事件的审核记录包含有关消息的信息,例如:

  • 发送邮件的时间。
  • Internet 邮件 ID。
  • 主题行。
  • 邮件是否包含附件。

此审核信息可帮助调查人员识别从已泄露帐户发送的电子邮件或由攻击者发送的电子邮件的相关信息。 此外,调查人员可以使用 Microsoft 365 电子数据展示工具(使用主题行或邮件 ID)搜索邮件。 通过执行此操作,他们可以标识邮件发送到的收件人以及已发送邮件的实际内容。

如果要搜索发送审核记录,可在 Microsoft Purview 合规性门户内审核日志搜索工具中的Exchange 邮箱活动下拉列表中,搜索“已发送邮件”活动。

“搜索”窗口的屏幕截图,其中为“活动”设置选择了“已发送邮件”选项。

此外,还可在 Exchange Online PowerShell 中运行 Search-UnifiedAuditLog -Operations SendSearch-MailboxAuditLog -Operations Send 命令。

SearchQueryInitiatedExchange 事件

当用户使用Outlook搜索邮箱中的项目时,会触发SearchQueryInitiatedExchange事件。 当在以下Outlook环境中执行搜索时,将触发事件:

  • Outlook(桌面客户端)
  • Outlook 网页版(OWA)
  • Outlook for iOS
  • Outlook for Android
  • Windows 10的“邮件”应用

调查人员可使用 SearchQueryInitiatedExchange 事件来确定可能已泄露帐户的攻击者是否已查找或尝试访问邮箱中的敏感信息。 SearchQueryInitiatedExchange 事件的审核记录包含实际搜索查询文本等信息。 审计记录也显示了搜索所处的Outlook环境。 通过查看攻击者可能已执行的搜索查询,调查员可以更清晰地了解所搜索的电子邮件数据的意图。

如果要搜索 SearchQueryInitiatedExchange 审核记录,可到 Microsoft Purview 合规性门户,在审核日志搜索工具中的“搜索活动”下拉列表中,搜索“已执行的电子邮件搜索”活动。

“搜索”窗口的屏幕截图,其中为“活动”设置选择了“已执行电子邮件搜索”选项。

此外,还可在 Exchange Online PowerShell 中运行Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange

必须启用对 SearchQueryInitiatedExchange 进行记录,从而在审核日志中搜索此事件。

SearchQueryInitiatedSharePoint 事件

SearchQueryInitiatedSharePoint 事件类似于搜索邮箱项目。 当用户在 SharePoint 中搜索项目时触发。 在以下类型的 SharePoint 网站的根页或默认页上执行搜索时,将触发事件:

  • 首页
  • 通信网站
  • 中心网站
  • 与 Microsoft Teams 相关联的网站

调查人员可使用 SearchQueryInitiatedSharePoint 事件来确定攻击者是否试图在 SharePoint 中查找(并有可能访问)敏感信息。 SearchQueryInitiatedSharePoint 事件的审核记录中包含实际搜索查询文本。 审计记录还显示所搜索的SharePoint站点的类型。 通过查看攻击者可能已运行的搜索查询,调查人员可以更好地了解攻击者搜索的文件数据的意图和范围。

如果要搜索 SearchQueryInitiatedSharePoint 审核记录,可到 Microsoft Purview 合规性门户,在审核日志搜索工具中的“搜索活动”下拉列表中,搜索“已执行的 SharePoint 搜索”活动。

“搜索”窗口的屏幕截图,其中为“活动”设置选择了“已执行的 SharePoint 搜索”选项。

此外,还可在 Exchange Online PowerShell 中运行Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint

注意

必须启用对 SearchQueryInitiatedSharePoint 进行记录,从而在审核日志中搜索此事件。

Microsoft 365 中的其他审核(高级版)事件

除 Exchange Online 和 SharePoint Online 中的事件之外,在为用户分配适当的审核(高级版)许可时,还记录了其他 Microsoft 365 服务中的事件。 以下 Microsoft 365 服务提供审核(高级版)事件。 选择相应的链接以转到标识和描述这些事件的文章。

高带宽访问 Office 365 管理活动 API

以前通过 Office 365 管理活动 API 访问审核日志的组织,会因发布者级别限制而受限。 因此,对于代表多个客户拉取数据的发布者,所有客户都共享了此限制。

随着审核(高级版)的发布,Microsoft 365 已从发布者级别限制迁移到租户级别的限制。 结果是每个组织都会获得自己完全分配的带宽配额,以访问其审核数据。 带宽不是静态的预定义限制。 相反,它是基于多种因素的组合。 这些因素包括组织中的席位数,以及 E5/A5/G5 组织获得比非 E5/A5/G5 组织更多的带宽这一事实。

所有组织最初每分钟分配 2000 个请求基线。 根据组织的座位数和许可订阅,此限制将显著增加。 E5/A5/G5 组织获得的带宽约为非 E5/A5/G5 组织的两倍。 这也是最大宽带的上限,以保护服务的健康。

其他读取。 有关更多信息,参见“Office 365 管理活动 API”中的“API 限制”部分。

知识检查

为以下每个问题选择最佳答案。