Pengantar investigasi ancaman dengan Audit Microsoft Purview (Premium)
Anda adalah Analis Operasi Keamanan yang bekerja di perusahaan yang menerapkan solusi Microsoft Purview dan Microsoft Defender XDR. Anda telah menerapkan Audit Microsoft Purview (Standar) dan menggunakannya untuk mencari Log Audit Terpadu (UAL). Sekarang Anda perlu memahami cara menyiapkan dan mengimplementasikan Microsoft Purview Audit (Premium). Manajer Anda telah meminta Anda untuk membuat kebijakan retensi log audit dan melakukan penyelidikan forensik.
Modul ini menjelajahi fungsionalitas utama di Audit Microsoft Purview (Premium). Audit (Premium) dibangun di atas kemampuan Audit (Standar). Hal ini dilakukan dengan menyediakan kebijakan retensi log audit, retensi catatan audit yang lebih lama, peristiwa penting bernilai tinggi, dan akses bandwidth yang lebih tinggi ke API Aktivitas Manajemen Office 365.
Modul dimulai dengan memeriksa persyaratan penyiapan untuk Audit (Premium). Penyiapan pada dasarnya adalah masalah mempertahankan langganan organisasi dan lisensi pengguna yang tepat. Anda kemudian akan meninjau perbedaan utama antara Audit (Standar) dan Audit (Premium). Salah satu fitur utama Audit (Premium) adalah dapat membantu organisasi melakukan penyelidikan forensik dan kepatuhan dengan menyediakan akses ke peristiwa penting, seperti:
- ketika item email diakses.
- ketika item email di balas dan diteruskan.
- kapan dan apa yang dicari pengguna di Exchange Online dan SharePoint Online.
Peristiwa ini dapat membantu organisasi menyelidiki kemungkinan pelanggaran dan menentukan cakupan kompromi.
Modul kemudian memeriksa cara mengimplementasikan Audit (Premium). Anda akan meninjau langkah-langkah berikut yang membentuk alur kerja ini:
- Siapkan Audit (Premium) untuk pengguna.
- Aktifkan pengelogan peristiwa penting.
- Buat kebijakan retensi log audit.
- Lakukan penyelidikan forensik.
Modul kemudian berfokus pada dua aktivitas terakhir dalam alur kerja ini - menyiapkan kebijakan retensi log audit dan melakukan penyelidikan akun yang disusupi.
Setelah menyelesaikan modul ini, Anda dapat:
- Menjelaskan perbedaan antara Audit (Standar) dan Audit (Premium).
- Siapkan dan terapkan Audit Microsoft Purview (Premium).
- Buat kebijakan retensi log audit.
- Lakukan penyelidikan forensik akun pengguna yang disusupi.