描述 Microsoft Purview 中的稽核
Microsoft Purview 中的稽核解決方案可幫助組織有效地回應安全性事件、鑑識調查、内部調查和合規性責任。 在數十種 Microsoft 365 服務和解決方案,以及 Security Copilot (若啟用) 中執行的數千個使用者和系統管理作業,都會擷取、記錄並保留在貴組織的整合稽核記錄中。 這些事件的稽核記錄可由安全性操作人員、IT 管理員、內部風險小組,以及貴組織中的合規性與法律調查人員搜尋。 這項功能可讓您瞭解 Microsoft 365 組織中執行的活動。
Microsoft Purview 提供兩種稽核解決方案:
- 稽核 (標準版)
- 稽核 (進階版)
稽核 (標準版)
預設會針對具有適當訂用帳戶且可供具有適當權限之使用者使用的所有組織開啟稽核 (標準版)。 當使用者或系統管理員執行稽核的活動時,系統會產生稽核記錄,並將其儲存在組織的稽核記錄中。 在稽核 (標準版) 中,記錄會保留 180 天。 您可以使用下列方法來擷取組織中大部分 Microsoft 365 服務中產生的稽核記錄:
- Microsoft Purview 入口網站中的稽核記錄搜尋工具。
- Office 365 管理活動 API
- Exchange Online PowerShell 中的 Search-UnifiedAuditLog Cmdlet
搜尋稽核記錄之後,您可以將搜尋傳回的稽核記錄匯出成 CSV 檔案,以便使用Microsoft Excel 或 Excel Power Query 做進一步分析。
稽核 (進階版)
稽核 (進階版) 建置於稽核 (標準版) 的功能上,方式是提供稽核記錄保留原則、較長的稽核記錄保留期、高價值的智慧見解,以及 Office 365 管理活動 API 的較高頻寬存取。
- 稽核記錄保留原則。 您可以建立自訂的稽核記錄保留原則,以保留更長期間最多一年的稽核記錄 (以及針對具有必要附加元件授權的使用者保留最多 10 年)。
- 稽核記錄的保留期較長。 Microsoft Entra ID、Exchange、OneDrive 和 SharePoint 稽核記錄預設會保留一年。 所有其他活動的稽核記錄則預設保留 180 天,或者,您也可以使用稽核記錄保留原則來設定更長的保留期間。
- 稽核 (進階版) 智慧見解。 智慧見解的稽核記錄可協助您的組織透過提供重要事件的可見度,例如何時存取郵件項目、何時回覆和轉寄郵件項目,以及使用者在 Exchange Online 和 SharePoint Online 中何時搜尋和搜尋什麼,來進行鑑識和合規性調查。 這些智慧見解可協助您調查可能的缺口,並判斷入侵範圍。
- Office 365 管理活動 API 的較高頻寬。 稽核 (進階版) 會透過 Office 365 管理活動 API,提供組織更多頻寬存取稽核記錄。
授權
稽核 (標準版) 或稽核 (進階版) 授權需要適當的組織層級訂閱和相應的個別使用者授權。 如需授權需求的其他資訊,請瀏覽《摘要與資源單位》中的「深入瞭解」。
Microsoft Purview 安全性 Copilot 中的稽核記錄
安全性 Copilot 中的稽核記錄功能會使用 Microsoft Purview 來處理並儲存管理員動作、使用者動作和 Copilot 回應。 這包括來自任何 Microsoft 和 Microsoft 以外的整合資料。
從 Microsoft 安全性 Copilot 入口網站 (獨立體驗),Copilot 擁有者可以加入,就能允許 Microsoft Purview 存取、處理、複製並儲存來自安全性 Copilot 服務的客戶資料。 一旦在 Copilot 中啟用此功能之後,如果貴組織早已在使用 Microsoft Purview,就不用採取進一步動作。 按預設,所有 Microsoft 365 組織都會開啟稽核記錄。 不過,當設定新的 Microsoft 365 組織時,您應該先確認組織的稽核狀態。 如果貴組織尚未使用 Microsoft Purview,就必須先佈建稽核記錄。 若要深入了解,請參閱開啟或關閉稽核。
Microsoft Purview 會將客戶資料儲存在 Microsoft 365 資料儲存的區域。 若要深入了解,請參閱 Microsoft Security Copilot 中的隱私權和資料安全性。