探索 Microsoft Purview 审核解决方案
Microsoft Purview 审核解决方案提供了一套集成解决方案,以帮助组织有效应对:
- 安全事件
- 取证调查
- 内部调查
- 合规性义务
数千名 Microsoft 365 服务和解决方案中执行的用户和管理员操作被捕获、记录并保留在组织的统一审核日志中。 这些事件的审核记录通过安全运营、IT 管理员、预览体验计划团队以及合规与法律支持人员进行搜索。 此功能可跨 Microsoft 365 组织查看执行的活动。
Microsoft Purview 审核解决方案
Microsoft Purview 提供两种审核解决方案:审核(标准)和审核(高级)。
审核(标准)
Microsoft Purview 审核(标准)让组织能够记录和搜索经审核的活动。 它还让组织能够支持其取证、IT、合规性和法律调查。
默认情况下启用。 默认为具有适当订阅的所有组织启用审核(标准)。 因此,将捕获经审核活动的记录并可以对其进行搜索。 唯一需要的设置是分配访问审核日志搜索工具(以及相应的 cmdlet)所需的权限,并确保为用户分配了适用于 Microsoft Purview 审核(高级)功能的正确许可证。
数以千计的可搜索审计事件。 组织可以搜索组织中大多数 Microsoft 365 服务中发生的各种经审核活动。 有关可搜索的活动的部分列表,请参阅“经审核活动”。 有关支持经审核活动的服务和功能的列表,请参阅 审核日志记录类型。
Microsoft Purview 合规性门户中的审核搜索工具。 组织可以使用 Microsoft Purview 合规门户中的审核日志搜索工具来搜索审核记录。 可以搜索:
- 特定活动
- 特定用户执行的活动
- 在日期范围内发生的活动
Search-UnifiedAuditLog cmdlet. 组织还可以在 Exchange Online PowerShell(搜索工具的基础 cmdlet)中使用 Search-UnifiedAuditLog cmdlet 来搜索审核事件或在脚本中使用。 有关详细信息,请参阅:
将审核记录导出为 CSV 文件。 组织在 Microsoft Purview 合规门户中运行审核日志搜索工具后,可以将搜索返回的审核记录导出到 CSV 文件。 通过执行此操作,Microsoft Excel 可以对不同的审核记录属性进行排序和筛选。 Excel Power Query 还可用于转换功能,以将 AuditData JSON 对象中的每个属性拆分为其自己的列。 此过程使你能够有效地查看和比较不同事件的相似数据。
通过Office 365管理活动API访问审核日志。 用于访问和检索审核记录的第三种方法就是使用 Office 365 管理活动 API。 此 API 允许组织将审核数据保留的时间超过默认的 180 天。 它还允许他们将其审核数据导入 SIEM 解决方案。 有关详细信息,请参阅 Office 365 管理活动 API 参考。
180 天的审核日志保留期。 用户或管理员执行经审核的活动时,将生成审核记录并存储在组织的审核日志中。 在 Microsoft Purview 审核 (标准) 中,记录将保留 180 天。 因此,组织可以搜索过去三个月内发生的活动。
审核(高级)
审核(高级)以审核(标准)功能为基础,提供审核日志保留策略、较长的审核记录保留时间、高价值关键事件,以及对 Office 365 管理活动 API 的更高带宽访问。
审核日志保留策略。 审核(高级)使组织能够创建自定义审核日志保留策略,以将审核记录保留长达一年(对于具有所需附加许可证的用户,最多可保留 10 年)。 组织可以根据以下条件创建日志保留策略来保留审核记录:
- 发生经审核活动的服务。
- 特定的经审核活动。
- 执行经审核活动的用户。
审核记录被延长的保留。 默认情况下,Exchange、SharePoint 和 Microsoft Entra审核记录将保留一年。 默认情况下,所有其他活动的审核记录将保留 180 天。 使用审核 (高级) ,组织可以使用审核日志保留策略来配置更长的保留期。
高价值、关键审核(高级)事件。 关键事件的审核记录可帮助组织进行取证和合规性调查。 它通过提供以下事件的可见性来达到此目的,例如:
- 访问邮件项目的时间。
- 答复和转发邮件项目的时间。
- 用户在 Exchange Online 和 SharePoint Online 中搜索的时间和内容。
这些关键事件可以帮助组织调查可能的违规行为,并确定违规的范围。
Office 365管理活动API的更高带宽。 审核(高级)为组织提供了更多的带宽来通过 Office 365 管理活动 API 访问审核日志。 最初为所有拥有审核(标准)或审核(高级)的组织分配了每分钟 2,000 个请求的基线。 但是,此限制会动态增加,具体取决于组织的席位数及其许可订阅。 因此,具有审核(高级)的组织将获得具有审核(标准)的组织的大约两倍的带宽。
稍后的模块将更详细地介绍 Microsoft Purview 审核(高级)。
比较关键功能
下表比较了审核(标准)和审核(高级)中提供的关键功能。 审核(高级)中包含所有审核(标准)功能。
| 功能 | 审核(标准) | 审核(高级) |
|---|---|---|
| 默认情况下启用 | X | X |
| 数千个可搜索的审核事件 | X | X |
| Microsoft Purview 合规门户中的审核搜索工具 | X | X |
| Search-UnifiedAuditLog cmdlet | X | X |
| 将审核记录导出到 CSV 文件 | X | X |
| 通过 Office 365 管理活动 API 访问审核日志 (1) | X | X |
| 180 天的审核日志保留期 | X | X |
| 1 年审核日志保留期 | X | |
| 10 年审核日志保留期 (2) | X | |
| 审核日志保留策略 | X | |
| 高价值的、关键事件 | X |
脚注:
(1) 审核(高级)包括对 Office 365 管理活动 API 的更高带宽访问,可更快地访问审核数据。
(2) 除了审核(高级)所需的许可外,必须为用户分配 10 年审核日志保留期的附加许可证,才能将其审核记录保留 10 年。
知识检查
为以下每个问题选择最佳答案。