存取 Security Copilot 稽核記錄
在現今嚴格的法規環境中,組織必須監視和分析使用者與安全性產品互動的方式。 組織可能需要追蹤平臺上的動作、交易和組態設定,以確保它們符合合規性法規和法規標準。
Security Copilot 可讓您透過 Microsoft Purview 和 Office 管理 API 存取稽核記錄,以協助您滿足合規性和法規需求。 稽核記錄可讓您查看管理事件和活動元數據等資訊。
管理員 事件 - 特殊許可權動作,例如租用戶層級設定的變更或系統管理變更 (例如,數據共用、外掛程式和提示書設定) 。
活動元數據 - 例如,Security Copilot 平臺 (內的使用者互動記錄,使用者會在特定時間要求提示,並提供活動類型) 的相關信息。
注意事項
這不包括客戶內容,例如實際的提示和回應。
藉由追蹤這些互動,您可能會識別風險並保護生產數據。
在 Security Copilot 中啟用稽核記錄功能
在第一次執行體驗期間,安全性系統管理員可以選擇允許 Microsoft Purview 存取、處理、複製和儲存系統管理員動作、用戶動作和 Copilot 回應。 如需詳細資訊,請參閱開始使用 Security Copilot。
安全性系統管理員也可以透過 [擁有者設定] 頁面存取此選項。 如需詳細資訊,請參閱 了解驗證。
在大部分情況下,在啟用此功能之後,Microsoft Purview 會在 24 小時內提供記錄。
使用下列步驟來更新稽核記錄設定:
登入 Security Copilot (https://securitycopilot.microsoft.com) 。
選取主功能表圖示。
流覽至 Microsoft Purview 中的擁有者>設定記錄稽核數據。
![在 [擁有者設定] 頁面的 [Microsoft Purview 中記錄稽核數據的影像](media/owner-settings-logging-audit-data.png)
重要事項
Microsoft Purview 會將客戶資料儲存在儲存Microsoft 365 數據的區域中。 如需詳細資訊,請參閱 隱私權和數據安全性。 稽核記錄的預設保留期間為180天,但可以使用稽核記錄保留原則來延長。 如需詳細資訊,請參閱管理稽核記錄保留原則。
您可以開啟或關閉切換。
![在 [擁有者設定] 頁面的 [Microsoft Purview 中記錄稽核數據的影像](media/owner-settings-logging-audit-data.png#lightbox)
存取 Purview Microsoft中的稽核記錄 Security Copilot
開始之前
本節提供存取稽核記錄的必要條件概觀。
您必須︰
- 確認您已選擇在 Security Copilot 內允許Microsoft Purview 存取。 如需詳細資訊,請參閱 啟用稽核記錄功能。
- 確認稽核記錄功能已在 Purview Microsoft開啟。 如需詳細資訊,請 參閱搜尋稽核記錄之前。
注意事項
您必須擁有正確的許可權,才能存取 Purview Microsoft稽核記錄。 如需詳細資訊,請參閱 Microsoft Purview 入口網站中的許可權。 請注意,這些訪問許可權可能與 Security Copilot 中的許可權不同。
存取稽核記錄的選項
您可以採取下列動作來存取 Purview Microsoft稽核記錄:
- 搜尋稽核記錄 - 提供如何存取和搜尋稽核記錄事件數據的指示,以深入瞭解並進一步調查用戶活動的文章。
- 搜尋稽核記錄活動 - 說明稽核記錄中所擷取之活動的文章。
- 使用 PowerShell 腳本搜尋稽核記錄 - 提供如何執行 PowerShell 腳本以搜尋稽核記錄以協助您調查安全性事件和合規性問題的文章。
- 使用 Security Copilot 和 Microsoft Sentinel 監視使用者活動和系統事件 - 部落格提供深入解析,瞭解如何將 Security Copilot 稽核記錄傳送至雲端原生 SIEM,以深入瞭解使用方式,並採取主動措施來降低風險。