Microsoft Purview Audit (Premium)

  • Artikel
  • 10 minuten om te lezen

De auditfunctionaliteit in Microsoft Purview biedt organisaties inzicht in vele soorten gecontroleerde activiteiten in veel verschillende services in Microsoft 365. Microsoft Purview-controle (Premium) helpt organisaties forensisch en nalevingsonderzoek uit te voeren door de retentie van auditlogboeken te vergroten die nodig zijn om een onderzoek uit te voeren, waardoor toegang wordt geboden tot cruciale gebeurtenissen (met behulp van zoeken in auditlogboeken in de Microsoft Purview-nalevingsportal en de Office 365 Beheeractiviteit-API) waarmee u het bereik van inbreuk kunt bepalen en sneller toegang hebt tot Office 365 Management Activity API.

Opmerking

Audit (Premium) is beschikbaar voor organisaties met een Office 365 E5/A5/G5- of Microsoft 365 Enterprise E5/A5/G5-abonnement. Een licentie voor Microsoft 365 E5/A5/G5 Compliance of E5/A5/G5 eDiscovery en de Audit-invoegtoepassing moet worden toegewezen aan gebruikers voor de functies van Geavanceerde audit, zoals langetermijnretentie van auditlogboeken en het genereren van belangrijke gebeurtenissen voor onderzoeken met Geavanceerde audit. Zie voor meer informatie over licenties:
- Audit (Premium)-licentievereisten
- Microsoft 365-licentierichtlijnen voor beveiligingsnaleving&.

In dit artikel vindt u een overzicht van de Geavanceerde audit-mogelijkheden en wordt beschreven hoe u gebruikers kunt instellen voor Geavanceerde audit.

Tip

Als u geen E5-klant bent, gebruikt u de 90-daagse proefversie van Microsoft Purview-oplossingen om te verkennen hoe aanvullende Purview-mogelijkheden uw organisatie kunnen helpen bij het beheren van gegevensbeveiliging en nalevingsbehoeften. Begin nu bij de hub Microsoft Purview-nalevingsportal proefversies. Meer informatie over registratie- en proefvoorwaarden.

Langetermijnretentie van auditlogboeken

Met Geavanceerde audit blijven alle Exchange-, SharePoint- en Azure Active Directory-auditrecords één jaar bewaard. Dit wordt bereikt door een standaard bewaarbeleid voor auditlogboeken dat een auditrecord met de waarde van AzureActiveDirectory, Exchange, OneDrive of SharePoint voor de eigenschap Workload (waarmee de service wordt aangegeven waarin de activiteit heeft plaatsgevonden) gedurende één jaar wordt bewaard. Als auditrecords langer worden bewaard, kan dit handig zijn voor doorlopend forensisch en complianceonderzoek. Zie de sectie 'Standaardbewaarbeleid voor auditlogboeken' in Bewaarbeleid voor auditlogboek beheren.

Naast de bewaarmogelijkheden van één jaar van Audit (Premium), hebben we ook de mogelijkheid om auditlogboeken gedurende 10 jaar te bewaren uitgebracht. Doordat de auditlogs 10 jaar worden bewaard, kunnen langlopende onderzoeken worden ondersteund en kan worden voldaan aan wettelijke, juridische en interne verplichtingen.

Opmerking

Voor het bewaren van auditlogs gedurende 10 jaar is een extra invoegtoepassings-licentie per gebruiker nodig. Nadat deze licentie is toegewezen aan een gebruiker en een geschikt 10-jarig bewaarbeleid voor auditlogs is ingesteld voor die gebruiker, zullen auditlogs die onder dat beleid vallen gedurende 10 jaar worden bewaard. Dit beleid is niet retroactief en kan geen auditlogboeken bewaren die zijn gegenereerd voordat het bewaarbeleid van 10 jaar voor auditlogboeken was ingesteld. Zie de veelgestelde vragen over Audit (Premium) in dit artikel voor meer informatie.

Bewaarbeleid voor auditlogboeken beheren

Alle auditrecords die worden gegenereerd in andere services die niet vallen onder het standaardbewaarbeleid voor auditlogboeken (beschreven in de vorige sectie), worden 90 dagen bewaard. Maar u kunt aangepast bewaarbeleid voor auditlogboeken maken om andere auditrecords gedurende langere perioden tot tien jaar te bewaren. U kunt een beleid maken om auditrecords te bewaren op basis van een of meer van de volgende criteria:

  • De Microsoft 365-service waar de gecontroleerde activiteiten plaatsvinden.
  • Specifieke gecontroleerde activiteiten.
  • De gebruiker die een gecontroleerde activiteit uitvoert.

U kunt ook opgeven hoelang u auditrecords die overeenkomen met het beleid en een prioriteitsniveau, wilt bewaren, zodat specifiek beleid prioriteit krijgt boven ander beleid. Elk aangepast bewaarbeleid voor auditlogboeken heeft voorrang op het standaardbewaarbeleid voor auditlogboeken als u Exchange-, SharePoint- of Azure Active Directory-auditrecords minder dan een jaar (of gedurende tien jaar) wilt bewaren voor bepaalde of alle gebruikers in uw organisatie. Zie Bewaarbeleid voor auditlogboeken beheren voor meer informatie.

Auditgebeurtenissen (Premium)

Met Audit (Premium) kunnen organisaties forensisch en compliance-onderzoek uitvoeren door toegang te bieden tot belangrijke gebeurtenissen, zoals wanneer e-mailitems zijn geopend, beantwoord en doorgestuurd, en wanneer en wat een gebruiker heeft gezocht in Exchange Online en SharePoint Online. Aan de hand van deze belangrijke gebeurtenissen kunt u mogelijke schendingen onderzoeken en de omvang van de inbreuk bepalen. Naast de belangrijke gebeurtenissen in Exchange en SharePoint zijn er gebeurtenissen in andere Microsoft 365-services die als belangrijke gebeurtenissen worden beschouwd en waarvoor een passende licentie van Geavanceerde audit moet worden geregistreerd. Gebruikers moeten een licentie voor Audit (Premium) hebben, zodat auditlogboeken worden gegenereerd wanneer gebruikers deze gebeurtenissen uitvoeren.

Audit (Premium) biedt de volgende gebeurtenissen:

MailItemsAccessed

De gebeurtenis MailItemsAccessed is een auditactie voor postvakken en wordt geactiveerd wanneer e-mailgegevens worden gebruikt door e-mailprotocollen en e-mailclients. Met deze gebeurtenis kunnen onderzoekers gegevenslekken identificeren en bepalen hoeveel en welke berichten mogelijk zijn gecompromitteerd. Als een aanvaller toegang heeft gekregen tot e-mailberichten, wordt de actie MailItemsAccessed geactiveerd, zelfs als er geen expliciet signaal is dat berichten daadwerkelijk zijn gelezen (met andere woorden, het type toegang, zoals een binding of synchronisatie, wordt vastgelegd in de controlerecord).

De gebeurtenis MailItemsAccessed vervangt MessageBind in de logboekregistratie voor postvakcontrole in Exchange Online en biedt de volgende verbeteringen:

  • MessageBind kan alleen worden geconfigureerd voor het aanmeldingstype van de AuditAdmin-gebruiker; dit is niet van toepassing op gedelegeerde of eigenaaracties. MailItemsAccessed is van toepassing op alle aanmeldingstypen.
  • MessageBind kon alleen worden gebruikt door een e-mailclient. De actie was niet van toepassing op synchronisatieactiviteiten. MailItemsAccessed-gebeurtenissen worden geactiveerd door de toegangstypen binding en synchronisatie.
  • Door MessageBind-acties werden er meerdere auditrecords gemaakt wanneer hetzelfde e-mailbericht werd geopend, waardoor de audit onsamenhangend werd. MailItemsAccessed-gebeurtenissen worden echter samengevoegd in minder auditrecords.

Zie Audit (Premium) gebruiken om gecompromitteerde accounts te onderzoeken voor informatie over auditrecords voor MailItemsAccessed-activiteiten.

Als u MailItemsAccessed-auditrecords wilt zoeken, kunt u zoeken naar de activiteit Geopende postvakitems in de vervolgkeuzelijst Activiteiten in Exchange-postvak in het hulpprogramma Zoeken in auditlogboek in de complianceportal.

Zoeken naar MailItemsAccessed-acties in het zoekhulpprogramma voor het auditlogboek

U kunt ook de opdracht Search-UnifiedAuditLog -Operations MailItemsAccessed of Search-MailboxAuditLog -Operations MailItemsAccessed uitvoeren in Exchange Online PowerShell.

Send

De gebeurtenis Send is ook een auditactie voor postvakken en wordt geactiveerd wanneer een gebruiker een van de volgende acties uitvoert:

  • Een e-mailbericht verzendt
  • Een e-mailbericht beantwoordt
  • Een e-mailbericht doorstuurt

Onderzoekers kunnen met behulp van de gebeurtenis Send e-mail identificeren die is verzonden vanaf een gecompromitteerd account. De auditrecord voor een Send-gebeurtenis bevat informatie over het bericht, zoals wanneer het bericht is verzonden, de InternetMessage-id, de onderwerpregel en of het bericht bijlagen bevat. Met deze auditgegevens kunnen onderzoekers informatie identificeren over e-mailberichten die zijn verzonden vanaf een gecompromitteerd account of door kwaadwillende gebruikers. Bovendien kunnen onderzoekers een Microsoft 365 eDiscovery-hulpprogramma gebruiken om te zoeken naar het bericht (met behulp van de onderwerpregel of bericht-id) om de geadresseerden te identificeren naar wie het bericht is verzonden en de werkelijke inhoud van het verzonden bericht.

Als u verzonden auditrecords wilt zoeken, kunt u zoeken naar de activiteit Verzonden bericht in de vervolgkeuzelijst Activiteiten in Exchange-postvak in het hulpprogramma Zoeken in auditlogboeken in de complianceportal.

Zoeken naar acties voor verzonden berichten in het zoekhulpprogramma voor het auditlogboek

U kunt ook de opdracht Search-UnifiedAuditLog -Operations Send of Search-MailboxAuditLog -Operations Send uitvoeren in Exchange Online PowerShell.

SearchQueryInitiatedExchange

De gebeurtenis SearchQueryInitiatedExchange wordt geactiveerd wanneer een persoon Outlook gebruikt om te zoeken naar items in een postvak. Gebeurtenissen worden geactiveerd wanneer zoekopdrachten worden uitgevoerd in de volgende Outlook-omgevingen:

  • Outlook (desktopclient)
  • De webversie van Outlook
  • Outlook voor iOS
  • Outlook voor Android
  • Mail-app voor Windows 10

Onderzoekers kunnen via de gebeurtenis SearchQueryInitiatedExchange nagaan of een kwaadwillende gebruiker die mogelijk een account heeft gecompromitteerd, in het postvak heeft gezocht naar of geprobeerd toegang te krijgen tot gevoelige informatie. De auditrecord voor een gebeurtenis SearchQueryInitiatedExchange bevat informatie zoals de werkelijke tekst van de zoekquery. De auditrecord geeft ook aan in welke Outlook-omgeving de zoekopdracht is uitgevoerd. Door de zoekquery's te analyseren die een kwaadwillende gebruiker mogelijk heeft uitgevoerd, kan een onderzoeker beter begrijpen waarom er naar bepaalde e-mailgegevens zijn gezocht.

Als u wilt zoeken naar searchQueryInitiatedExchange-auditrecords, kunt u zoeken naar de activiteit Uitgevoerde e-mailzoekactiviteit in de vervolgkeuzelijst Activiteiten zoeken in het zoekprogramma voor auditlogboeken in de complianceportal.

Zoeken naar acties voor uitgevoerde zoekopdrachten voor e-mail in het zoekhulpprogramma voor het auditlogboek

Je kunt ook de opdracht Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange uitvoeren in Exchange Online PowerShell.

Opmerking

Je moet logboekregistratie inschakelen voor SearchQueryInitiatedExchange, zodat je deze gebeurtenis kunt zoeken in het auditlogboek. Zie Audit (Premium) instellen voor instructies.

SearchQueryInitiatedSharePoint

Net als bij het zoeken naar postvakitems wordt de gebeurtenis SearchQueryInitiatedSharePoint geactiveerd wanneer een persoon naar items zoekt in SharePoint. Gebeurtenissen worden geactiveerd wanneer zoekopdrachten worden uitgevoerd op de hoofd- of standaardpagina van de volgende typen SharePoint sites:

  • Startsites
  • Communicatiesites
  • Hubsites
  • Sites die zijn gekoppeld aan Microsoft Teams

Onderzoekers kunnen met behulp van de gebeurtenis SearchQueryInitiatedSharePoint nagaan of een kwaadwillende gebruiker naar gevoelige informatie heeft gezocht (en mogelijk hier toegang toe heeft gekregen) in SharePoint. De auditrecord voor een gebeurtenis SearchQueryInitiatedSharePoint bevat ook informatie zoals de werkelijke tekst van de zoekquery. De auditrecord geeft ook aan welk type SharePoint-site is doorzocht. Door de zoekquery's te analyseren die een kwaadwillende gebruiker mogelijk heeft uitgevoerd, kan een onderzoeker beter begrijpen waarom en in welke mate er naar bepaalde bestandsgegevens zijn gezocht.

Als u wilt zoeken naar SearchQueryInitiatedSharePoint-auditrecords, kunt u zoeken naar de uitgevoerde SharePoint-zoekactiviteit in de vervolgkeuzelijst Activiteiten zoeken in het zoekprogramma voor auditlogboeken in de complianceportal.

Zoeken naar acties voor uitgevoerde SharePoint-zoekopdrachten in het zoekhulpprogramma voor het auditlogboek

Je kunt ook de opdracht Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint uitvoeren in Exchange Online PowerShell.

Opmerking

Je moet logboekregistratie inschakelen voor SearchQueryInitiatedSharePoint, zodat je deze gebeurtenis kunt zoeken in het auditlogboek. Zie Audit (Premium) instellen voor instructies.

Andere Auditgebeurtenissen (Premium) in Microsoft 365

Naast de gebeurtenissen in Exchange Online en SharePoint Online zijn er gebeurtenissen in overige Microsoft 365-services die worden geregistreerd wanneer gebruikers de passende licentie voor Audit (Premium) toegewezen krijgen. De volgende Microsoft 365-services bieden Auditgebeurtenissen (Premium). Klik op de bijbehorende koppeling voor een artikel waarin deze gebeurtenissen worden geïdentificeerd en beschreven.

Toegang met hoge bandbreedte tot de Office 365 Management Activity-API

Organisaties met toegang tot auditlogboeken via de Office 365 Management Activity-API hadden te maken met beperkingslimieten op uitgeversniveau. Dit betekent dat voor een uitgever die gegevens ophaalt namens meerdere klanten, de limiet werd gedeeld door al die klanten.

Met de release van Audit (Premium) gaan we over van een limiet op uitgeversniveau naar een limiet op tenantniveau. Hierdoor krijgt elke organisatie een eigen, volledig toegewezen bandbreedtequotum voor toegang tot de auditgegevens. De bandbreedte is geen statische, vooraf gedefinieerde limiet, maar is gemodelleerd op een combinatie van factoren, waaronder het aantal seats in de organisatie en dat E5/A5/G5-organisaties meer bandbreedte krijgen dan niet-E5/A5/G5-organisaties.

Aan alle organisaties wordt in eerste instantie een basislijn van 2000 aanvragen per minuut toegewezen. Deze limiet wordt dynamisch verhoogd, afhankelijk van het aantal seats en het licentieabonnement van een organisatie. E5/A5/G5-organisaties krijgen ongeveer twee keer zoveel bandbreedte als niet-E5/A5/G5-organisaties. Er is ook een limiet voor de maximale bandbreedte om de goede werking van de service te waarborgen.

Zie de sectie over API-beperking in de Engelstalige Office 365 Management Activity-API-handleiding voor meer informatie.

Veelgestelde vragen voor Audit (Premium)

Heeft elke gebruiker een E5/A5/G5-licentie nodig om gebruik te kunnen maken van Audit (Premium)?

Om gebruik te kunnen maken van Auditmogelijkheden (Premium) op gebruikersniveau, moet aan een gebruiker een E5/A5/G5-licentie zijn toegewezen. Er zijn bepaalde mogelijkheden waarmee kan worden gecontroleerd op de juiste licentie om de functie beschikbaar te maken voor de gebruiker. Als je bijvoorbeeld de auditrecords wilt bewaren voor een gebruiker aan wie langer dan 90 dagen niet de juiste licentie is toegewezen, wordt er een foutbericht weergegeven.

Mijn organisatie heeft een E5/A5/G5-abonnement. Moet ik iets doen om toegang te krijgen tot auditrecords voor gebeurtenissen van Audit (Premium)?

Voor in aanmerking komende klanten en gebruikers die de juiste E5/A5/G5-licentie hebben toegewezen, is er geen actie nodig om toegang te krijgen tot auditgebeurtenissen (Premium), behalve voor het inschakelen van de gebeurtenissen SearchQueryInitiatedExchange en SearchQueryInitiatedSharePoint (zoals eerder beschreven in dit artikel). Gebeurtenissen van Audit (Premium) worden alleen gegenereerd voor gebruikers met E5/A5/G5-licenties zodra deze licenties zijn toegewezen.

Zijn de nieuwe gebeurtenissen in Audit (Premium) beschikbaar in de Office 365 Management Activity-API?

Ja. Zolang auditrecords worden gegenereerd voor gebruikers met de juiste licentie, hebt u toegang tot deze records via de Office 365 Management Activity-API.

Wat gebeurt er met de auditlogboekgegevens van mijn organisatie als ik een bewaarbeleid voor het auditlogboek van 10-jaar heb gemaakt toen de functie algemeen beschikbaar werd, maar voordat de vereiste licentie voor de invoegtoepassing beschikbaar werd?

Alle auditlogboekgegevens die vallen onder een bewaarbeleid voor auditlogboeken van tien jaar dat u hebt gemaakt nadat de functie in het laatste kwartaal van 2020 algemeen beschikbaar werd, blijven tien jaar bewaard. Dit geldt ook voor bewaarbeleid voor auditlogboeken gedurende 10 jaar dat is gemaakt voordat de vereiste licentie voor de invoegtoepassing werd uitgebracht voor aankoop in maart 2021. Aangezien de licentie voor het bewaren van het auditlogboek gedurende 10 jaar nu beschikbaar is, moet u deze invoeglicenties kopen en toewijzen aan alle gebruikers van wie de auditgegevens worden vallen onder een bewaarbeleid voor auditlogboeken van 10 jaar.