ביקורת ב- Microsoft Purview (Premium)

עצה

הידעת שתוכל לנסות את גירסאות Premium של כל תשעת הפתרונות של Microsoft Purview ללא תשלום? השתמש בגירסת הניסיון של פתרונות Purview ל- 90 יום כדי לגלות כיצד יכולות Purview חזקות יכולות לעזור לארגון שלך לעמוד בדרישות התאימות שלו. Microsoft 365 E3 ו Office 365 E3 יכולים להתחיל עכשיו במרכז פורטל התאימות של Microsoft Purview הניסיון. למד פרטים אודות המשתמשים שיכולים להירשם ולתנאי ניסיון.

פונקציונליות הביקורת ב- Microsoft Purview מספקת לארגונים ניראות לגבי סוגים רבים של פעילויות מביקורת בשירותים רבים ושונים ב- Microsoft 365. ביקורת ב- Microsoft Purview (Premium) מסייעת לארגונים לערוך חקירות משפטיות ותאימות על-ידי הגדלת שמירת יומני הביקורת הנדרשת כדי לערוך חקירה, ומספקת גישה לאירועים חיוניים (באמצעות חיפוש ביומן ביקורת פורטל התאימות של Microsoft Purview וברשימת Office 365 API של פעילות ניהול) שמסייע לקבוע את היקף הסכנה וגישה מהירה יותר Office 365 Api של פעילות ניהול.

הערה

ביקורת (Premium) זמינה עבור ארגונים בעלי מנוי Office 365 E5/A5/G5 או Microsoft 365 Enterprise E5/A5/G5. יש להקצות רשיון Microsoft 365 E5/A5/G5 Compliance או E5/A5/G5 eDiscovery and Audit Add-on למשתמשים עבור תכונות ביקורת (Premium), כגון שמירה לטווח ארוך של יומני ביקורת ואירועי ביקורת (Premium) לצורך חקירות. לקבלת מידע נוסף אודות רישוי, ראה:
- דרישות רישוי של Audit (Premium)
- הדרכת רישוי של Microsoft 365 עבור תאימות & אבטחה.

מאמר זה מספק מבט כולל על יכולות ביקורת (Premium) ומראה לך כיצד להגדיר משתמשים עבור ביקורת (Premium).

שמירה לטווח ארוך של יומני ביקורת

Audit (Premium) שומר את כל רשומות הביקורת של Exchange, SharePoint ו- Azure Active Directory למשך שנה אחת. פעולה זו מושגת על-ידי מדיניות שמירה של יומן ביקורת המהווה ברירת מחדל השומרת על כל רשומת ביקורת המכילה את הערך של Exchange, SharePoint או AzureActiveDirectory עבור המאפיין Workload (המציין את השירות שבו התרחשה הפעילות) למשך שנה אחת. שמירת רשומות ביקורת לפרקי זמן ארוכים יותר יכולה לסייע בחקירות משפטיות או תאימות מתמשכת. לקבלת מידע נוסף, עיין בסעיף "מדיניות השמירה של יומן הביקורת המוגדרת כברירת מחדל" בניהול מדיניות שמירה של יומן ביקורת.

בנוסף ליכולות השמירה של ביקורת (Premium) לשנה אחת, פרסמנו גם את היכולת לשמור יומני ביקורת במשך 10 שנים. השמירה של 10 שנים של יומני ביקורת מסייעת לתמוך בחקירות מתמשכת ומגיבה למחויבויות רגולטוריות, משפטיות ו פנימיות.

הערה

שמירת יומני ביקורת למשך 10 שנים תדרוש רשיון הרחבה נוסף לכל משתמש. לאחר הקצאת רשיון זה למשתמש ומדיניות שמירה מתאימה של יומן ביקורת של 10 שנים מוגדרת עבור משתמש זה, יומני הביקורת הכלולים במדיניות זו יתחילו להישמר לתקופה של 10 שנים. מדיניות זו אינה רטרואקטיבית ואינה יכולה לשמור יומני ביקורת שנוצרו לפני יצירת מדיניות השמירה של יומן הביקורת של 10 הימים. לקבלת מידע נוסף, עיין בסעיף שאלות נפוצות בנושא ביקורת (Premium) במאמר זה.

מדיניות שמירה של יומן ביקורת

כל רשומות הביקורת שנוצרו בשירותים אחרים שאינן מכוסות על-ידי מדיניות השמירה של יומן הביקורת המהווה ברירת מחדל (המתוארת בסעיף הקודם) נשמרות למשך 90 יום. עם זאת, באפשרותך ליצור מדיניות שמירה מותאמת אישית של יומן ביקורת כדי לשמור רשומות ביקורת אחרות לפרקי זמן ארוכים יותר עד 10 שנים. באפשרותך ליצור מדיניות לשמירה על רשומות ביקורת בהתבסס על אחד או יותר מהקריטריונים הבאים:

  • שירות Microsoft 365 שבו מתרחשות הפעילויות המביקורות.

  • פעילויות מביקורת ספציפיות.

  • המשתמש המבצע פעילות מביקורת.

באפשרותך גם לציין כמה זמן יש לשמור רשומות ביקורת התואמות למדיניות ולרמת עדיפות כך שמדיניות מסוימת תקבל עדיפות על-פני פריטי מדיניות אחרים. כמו כן, שים לב שמדיניות שמירה מותאמת אישית של יומן ביקורת תקבל קדימות על-פני מדיניות השמירה של ביקורת המוגדרת כברירת מחדל במקרה שתצטרך לשמור רשומות ביקורת של Exchange, SharePoint או Azure Active Directory למשך פחות משנה (או למשך 10 שנים) עבור חלק מהמשתמשים בארגון או כל המשתמשים. לקבלת מידע נוסף, ראה ניהול מדיניות שמירה של יומני ביקורת.

אירועי ביקורת (Premium)

ביקורת (Premium) מסייעת לארגונים לערוך חקירות משפטיות ותאימות על-ידי מתן גישה לאירועים חשובים כגון הגישה לפריטי דואר, כאשר פריטי דואר השיבו לפריטי דואר והעברו אליהם, ומתי ומה משתמש ביצע חיפוש ב- Exchange Online וב- SharePoint Online. אירועים אלה יכולים לעזור לך לחקור הפרות אפשריות ולברר את היקף הסכנה. בנוסף לאירועים אלה ב- Exchange וב- SharePoint, קיימים אירועים בשירותים אחרים של Microsoft 365 שנחשבים לאירועים חשובים הדורשים שלמשתמשים יהיה רשיון ביקורת (Premium) מתאים. יש להקצות למשתמשים רשיון ביקורת (Premium) כך שתיומני ביקורת ילהפיק כאשר משתמשים מבצעים אירועים אלה.

Audit (Premium) מספק את האירועים הבאים:

MailItemsAccessed

האירוע MailItemsAccessed הוא פעולת ביקורת של תיבות דואר והוא מופעל כאשר נתוני דואר נגישים באמצעות פרוטוקולי דואר והלקוחות של הדואר. אירוע זה יכול לעזור לחוקרים לזהות הפרות נתונים ולברר את היקף ההודעות שייתכן שנחשף לסכנה. אם תוקף קיבל גישה להודעות דואר אלקטרוני, הפעולה MailItemsAccessed מופעלת גם אם אין אות מפורש שהודעות נקראו בפועל (במילים אחרות, סוג הגישה כגון איגוד או סינכרון מתועד ברשומת הביקורת).

האירוע MailItemsAccessed מחליף את MessageBind ברישום ביקורת של תיבות Exchange Online דואר ומספק שיפורים אלה:

  • MessageBind היה ניתן להגדרה עבור סוג כניסת משתמש של AuditAdmin בלבד; היא לא חלה על פעולות נציג או בעלים. MailItemsAccessed חל על כל סוגי הכניסה.

  • MessageBind מכוסה בגישה על-ידי לקוח דואר בלבד. הוא לא חל על פעילויות סינכרון. אירועי MailItemsAccessed מופעלים הן על-ידי סוגי גישה של איגוד והן סינכרון.

  • פעולות MessageBind יפעילו את היצירה של רשומות ביקורת מרובות כאשר בוצעה גישה לאותה הודעת דואר אלקטרוני, מה שגרמ לביקורת "רעש". לעומת זאת, אירועים MailItemsAccessed נצברים בפחות רשומות ביקורת.

לקבלת מידע אודות רשומות ביקורת עבור פעילויות MailItemsAccessed, ראה שימוש ב'ביקורת ' (Premium) כדי לחקור חשבונות שנחשף לסכנה.

כדי לחפש רשומות ביקורת של MailItemsAccessed, באפשרותך לחפש את הפעילות של פריטי תיבת הדואר שהגישה אליהם מופיעה ברשימה הנפתחת פעילויות תיבת דואר של Exchange בכלי החיפוש של יומן הביקורת בפורטל התאימות.

חיפוש פעולות MailItemsAccessed בכלי החיפוש של יומן הביקורת.

באפשרותך גם להפעיל את הפקודות Search-UnifiedAuditLog -Operations MailItemsAccessed או Search-MailboxAuditLog -Operations MailItemsAccessed ב- Exchange Online PowerShell.

שליחה

האירוע Send הוא גם פעולת ביקורת של תיבות דואר והוא מופעל כאשר משתמש מבצע אחת מהפעולות הבאות:

  • שליחת הודעת דואר אלקטרוני

  • מענה להודעת דואר אלקטרוני

  • העברת הודעת דואר אלקטרוני

החוקרים יכולים להשתמש באירוע 'שלח' כדי לזהות דואר אלקטרוני שנשלח מחשבן שנחשף לסכנה. רשומת הביקורת עבור אירוע 'שלח' מכילה מידע אודות ההודעה, כגון מתי ההודעה נשלחה, מזהה InternetMessage, שורת הנושא, ואם ההודעה ה מכילה קבצים מצורפים. מידע ביקורת זה יכול לעזור לחוקרים לזהות מידע אודות הודעות דואר אלקטרוני שנשלחות מחשבן שנחשף לסכנה או שנשלחו על-ידי תוקף. בנוסף, חוקרים יכולים להשתמש בכלי גילוי אלקטרוני של Microsoft 365 כדי לחפש את ההודעה (באמצעות שורת הנושא או מזהה ההודעה) כדי לזהות את הנמענים שאליהם נשלחה ההודעה ואת התוכן הממשי של ההודעה שנשלחה.

כדי לחפש אחר שליחת רשומות ביקורת, באפשרותך לחפש את פעילות ההודעות שנשלחו ברשימה הנפתחת פעילויות תיבת דואר של Exchange בכלי החיפוש של יומן הביקורת בפורטל התאימות.

חיפוש פעולות של הודעות שנשלחו בכלי החיפוש של יומן הביקורת.

באפשרותך גם להפעיל את הפקודות Search-UnifiedAuditLog -Operations Send או Search-MailboxAuditLog -Operations Send ב- Exchange Online PowerShell.

SearchQueryInitiatedExchange

האירוע SearchQueryInitiatedExchange מופעל כאשר אדם משתמש ב- Outlook כדי לחפש פריטים בתיבת דואר. אירועים מופעלים בעת ביצוע חיפושים בסביבות הבאות של Outlook:

  • Outlook (לקוח שולחן עבודה)

  • Outlook באינטרנט (OWA)

  • Outlook עבור iOS

  • Outlook עבור Android

  • האפליקציה 'דואר' עבור Windows 10

החוקרים יכולים להשתמש באירוע SearchQueryInitiatedExchange כדי לקבוע אם תוקף שייתכן וחשף לסכנה חשבון חיפש או ניסה לגשת למידע רגיש בתיבת הדואר. רשומת הביקורת עבור אירוע SearchQueryInitiatedExchange מכילה מידע כגון הטקסט הממשי של שאילתת החיפוש. רשומת הביקורת מציינת גם את סביבת Outlook שבה בוצע החיפוש. על-ידי התבו עיין בשאילתות החיפוש שתוקף ביצע, חוקר יכול להבין טוב יותר את הכוונה של נתוני הדואר האלקטרוני שחיפשת.

כדי לחפש רשומות ביקורת של SearchQueryInitiatedExchange, באפשרותך לחפש את פעילות החיפוש שבוצעה בדואר אלקטרוני ברשימה הנפתחת פעילויות חיפוש בכלי החיפוש של יומן הביקורת במרכז התאימות.

חיפוש פעולות חיפוש שבוצעו בדואר אלקטרוני בכלי החיפוש של יומן הביקורת.

באפשרותך גם להפעיל את Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange ב- Exchange Online PowerShell.

הערה

עליך לאפשר רישום של SearchQueryInitiatedExchange כדי שתוכל לחפש אירוע זה ביומן הביקורת. לקבלת הוראות, ראה הגדרת ביקורת (Premium).

SearchQueryInitiatedSharePoint

בדומה לחיפוש פריטי תיבת דואר, האירוע SearchQueryInitiatedSharePoint מופעל כאשר אדם מחפש פריטים ב- SharePoint. אירועים מופעלים בעת ביצוע חיפושים בדף הבסיס או בדף ברירת המחדל של הסוגים הבאים של אתרי SharePoint:

  • אתרי בית

  • אתרי תקשורת

  • אתרי רכזת

  • אתרים המשויכים ל- Microsoft Teams

חוקרים יכולים להשתמש באירוע SearchQueryInitiatedSharePoint כדי לקבוע אם תוקף ניסה למצוא (ואולי גישה) מידע רגיש ב- SharePoint. רשומת הביקורת עבור אירוע SearchQueryInitiatedSharePoint מכילה גם את הטקסט הממשי של שאילתת החיפוש. רשומת הביקורת מציינת גם את סוג אתר SharePoint שבו התבצע חיפוש. על-ידי התבו עיין בשאילתות החיפוש שתוקף ביצע, חוקר יכול להבין טוב יותר את המטרה והיקף של נתוני הקובץ בחיפוש.

כדי לחפש רשומות ביקורת של SearchQueryInitiatedSharePoint, באפשרותך לחפש את פעילות החיפוש שבוצעה ב- SharePoint ברשימה הנפתחת פעילויות חיפוש בכלי החיפוש של יומן הביקורת במרכז התאימות.

חיפוש פעולות חיפוש שבוצעו ב- SharePoint בכלי החיפוש של יומן הביקורת.

באפשרותך גם להפעיל את Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint ב- Exchange Online PowerShell.

הערה

עליך להפוך את SearchQueryInitiatedSharePoint לזמין כדי שתוכל לחפש אירוע זה ביומן הביקורת. לקבלת הוראות, ראה הגדרת ביקורת (Premium).

אירועי ביקורת (Premium) אחרים ב- Microsoft 365

בנוסף לאירועים ב- Exchange Online וב- SharePoint Online, קיימים אירועים בשירותים אחרים של Microsoft 365 הנראים כאשר למשתמשים מוקצה רישוי ביקורת (Premium) מתאים. שירותי Microsoft 365 הבאים מספקים אירועי ביקורת (Premium). בחר את הקישור המתאים כדי לעבור למאמר המזהה ומתאר אירועים אלה.

גישה ברוחב פס גבוה ל- API של Office 365 Management Activity

ארגונים שלגשת ליומני ביקורת באמצעות ה- API Office 365 של פעילות ניהול האפליקציות הוגבלים על-ידי ויסות מגבלות ברמת המפרסם. משמעות הדבר שעבור מפרסם מושך נתונים בשם לקוחות מרובים, המגבלה שותף על-ידי כל הלקוחות הללו.

עם ההפצה של ביקורת (Premium), אנו עוברים ממגבלת ברמת המוציא לאור למגבלה ברמת הדייר. התוצאה היא שכל ארגון מקבל מיכסת רוחב פס שהוקצתה לו במלואה כדי לגשת לנתונים הביקורת שלהם. רוחב הפס אינו מגבלה סטטית מוגדרת מראש, אך הוא מעוצב בשילוב של גורמים, כולל מספר המושבים בארגון, וארגונים מסוג E5/A5/G5 יקבלו רוחב פס גדול יותר מאשר ארגונים שאינם E5/A5/G5.

כל הארגונים מוקצים בהתחלה תוכנית בסיסית של 2,000 בקשות לדקה. מגבלה זו תגדל באופן דינאמי בהתאם לספירת מושבים של ארגון ולמינוי הרישוי שלו. ארגוני E5/A5/G5 יקבלו רוחב פס כפול מארגונים שאינם E5/A5/G5. תהיה גם מכסה על רוחב הפס המרבי כדי להגן על תקינות השירות.

לקבלת מידע נוסף, עיין בסעיף "ויסות API" במאמר Office 365 API של פעילות ניהול.

שאלות נפוצות בנושא ביקורת (Premium)

האם כל משתמש זקוק לרשיון E5/A5/G5 כדי ליהנות מביקורת (Premium)?

כדי ליהנות מיכולות ביקורת ברמת המשתמש (Premium), יש להקצות למשתמש רשיון E5/A5/G5. קיימות כמה יכולות שיפתינו את הרשיון המתאים כדי לחשוף את התכונה עבור המשתמש. לדוגמה, אם אתה מנסה לשמור את רשומות הביקורת עבור משתמש שלא הוקצה לו הרשיון המתאים למשך יותר מ- 90 יום, המערכת תחזיר הודעת שגיאה.

לארגון שלי יש מנוי E5/A5/G5, האם עליי לעשות דבר כדי לקבל גישה לרשומות ביקורת עבור אירועי ביקורת (Premium)?

עבור לקוחות ומשתמשים זכאים שהוקצה להם רשיון E5/A5/G5 המתאים, אין צורך בפעולה כדי לקבל גישה לאירועי Audit (Premium), למעט להפעלת אירועי SearchQueryInitiatedExchange ו- SearchQueryInitiatedSharePoint (כפי שתואר קודם לכן במאמר זה). אירועי ביקורת (Premium) יופקו רק עבור משתמשים בעלי רשיונות E5/A5/G5 לאחר שהוקצו רשיונות אלה.

האם האירועים החדשים ב-Audit (Premium) זמינים ב- API של Office 365 Management Activity?

כן. כל עוד רשומות ביקורת נוצרות עבור משתמשים בעלי הרשיון המתאים, תוכל לגשת לרשומות אלה באמצעות ה- API של Office 365 Management Activity.

מה קורה לנתונים של יומן הביקורת של הארגון שלי אם אני יוצר מדיניות שמירה של יומן ביקורת של 10 שנים כאשר התכונה הופצה לזמינות כללית, אך לפני שרשיון ההרחבה הנדרשת הפך לזמין?

כל נתוני יומן הביקורת המכוסים על-ידי מדיניות שמירה של יומן ביקורת של 10 שנים שיצרת לאחר פרסום התכונה לזמינות כללית ברבעון האחרון של 2020 יישמרו למשך 10 שנים. הדבר כולל מדיניות שמירה של יומן ביקורת של 10 שנים שנוצרו לפני שרשיון ההרחבה הנדרש פורסם לרכישה במרץ 2021. עם זאת, מאחר שרשיון השמירה של יומן הביקורת ל- 10 שנים זמין כעת, יהיה עליך לרכוש ולהקצות רשיונות הרחבה אלה עבור כל המשתמשים שנתוני הביקורת שלהם מכוסים על-ידי מדיניות שמירה של ביקורת של 10 שנים.