Microsoft Purview 稽核 (進階版)
如果組織具有支援 Audit (進階版) 的訂用帳戶和使用者授權,則應該執行下列步驟來設定和使用 Audit (進階版) 功能。
步驟 1:設定使用者的稽核 (進階版)
稽核 (進階版)功能需要使用者受指派適當的 E5 授權。 此外,也必須為這些使用者啟用 [進階稽核] 應用程式/服務方案。 要驗證 [進階稽核] 應用程式是否已指派給使用者,請對每個使用者執行以下步驟:
- 在 Microsoft 365 系統管理中心 左側功能窗格中,選取 [使用者],然後選取 [作用中使用者]。
- 在 [作用中使用者] 頁面上,選取使用者。
- 在出現的 [使用者屬性] 飛出視窗頁面上,選取 [授權和應用程式] 索引標籤。
- 在 [授權] 區段中,確認使用者已獲指派 E5 授權,或已獲指派適當的附加元件授權。 如需支援 Audit (進階版) 的授權清單,請參閱 稽核 (進階版) 授權需求。
- 展開 [應用程式] 區段。 確認已選取 [Microsoft 365 進階稽核] 核取方塊。 如果未選取核取方塊,請選取核取方塊,然後選取 [儲存變更]。
將在 24 小時內開始記錄 MailItemsAccessed 和傳送事件的稽核記錄。 組織必須執行步驟 4,才能開始記錄其他兩個稽核 (進階版) 事件:
- SearchQueryInitiatedExchange
- SearchQueryInitiatedSharePoint
此外,如果您已自訂在使用者信箱或共用信箱上稽核的信箱動作,將不會自動在這些信箱上稽核 Microsoft 發行的任何新的稽核 (進階版) 事件。
其他閲讀資源。 如需為每個登入類型變更稽核的信箱動作的相關資訊,請參閱 管理信箱稽核 中的「變更或還原預設記錄的信箱動作] 一節」。
步驟 2:啟用稽核 (進階版) 事件
您必須啟用下列 Audit (進階版) 事件記錄,讓使用者可以在 Exchange Online 和 SharePoint Online 中執行搜尋:
- SearchQueryInitiatedExchange
- SearchQueryInitiatedSharePoint
若要讓這兩個事件能夠針對使用者進行稽核,請在 Exchange Online PowerShell 中執行下列命令:
Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}
在多地理位置環境中,您必須在使用者信箱所在的樹系中執行前述 Set-Mailbox 命令。
若要識別使用者的信箱位置,請執行下列命令:
Get-Mailbox <user identity> | FL MailboxLocations
如果啟用搜尋查詢稽核的命令先前是在與使用者信箱所在的樹系不同的樹系中執行,則您必須執行下列命令,從使用者的信箱中移除 SearchQueryInitiated 值:
Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}
接著,您必須將 SearchQueryInitiated 值新增至使用者信箱所在樹系中的使用者信箱。
步驟 3:設定稽核保留原則
Audit (Premium) 中的預設保留原則會保留 Exchange、SharePoint 和 Microsoft Entra 稽核記錄一年。 組織可以建立其他稽核記錄保留原則,以符合其安全性作業、IT 和合規性小組的要求。
如需詳細資訊,請參閱關於如何「管理稽核記錄保留原則」的下一個單元。
步驟 4:搜尋稽核 (進階板) 事件
既然您已為組織設定稽核 (進階版),您就可以在進行鑒識調查時,搜尋重要的稽核 (進階版) 事件和其他活動。 完成步驟 1 和 2 後,您可以在受入侵帳戶的鑒識調查以及其他類型的安全性或合規性調查期間,在稽核記錄中搜尋稽核 (進階版) 事件和其他活動。
如需使用 MailItemsAccessed Audit (進階版) 事件對遭入侵的使用者帳戶進行鑒識調查的詳細資訊,請參閱本課程中的最後一個單元,如何「調查遭入侵的帳戶」。