Аудит Microsoft Purview (Премиум)

Совет

Вы знали, что можете бесплатно попробовать премиум-версии всех девяти решений Microsoft Purview? Используйте 90-дневные пробные версии решений Purview, чтобы узнать, каким образом надежные возможности Purview помогут вашей организации обеспечить соответствие требованиям. Клиенты Microsoft 365 E3 и Office 365 E3 могут начать работу прямо сейчас вцентре пробных версий портала соответствия требованиям Microsoft Purview. Подробнее о том,кто может зарегистрироваться, и об условиях пробной версии.

Функция аудита в Microsoft Purview дает организациям представление о многих типах проверяемых действий в различных службах Microsoft 365. Аудит Microsoft Purview (Премиум) помогает организациям проводить судебные расследования и расследования соответствия за счет увеличения срока хранения журнала аудита, необходимого для проведения расследования, и предоставления доступа к важным событиям (с помощью поиска в журнале аудита на портале соответствия Microsoft Purview и API действий управления Office 365). которые помогают определить область компрометации и более быстрый доступ к API действий управления Office 365.

Примечание

Аудит (Премиум) доступен для организаций с подпиской на Office 365 E5/A5/G5 или Microsoft 365 Enterprise E5/A5/G5. Лицензия на надстройку Microsoft 365 E5/A5/G5 Compliance или E5/A5/G5 eDiscovery и аудит должна быть назначена пользователям для функций аудита (Премиум), таких как долгосрочное хранение журналов аудита и создание мероприятий аудита (Премиум) для расследования. Дополнительные сведения о лицензировании см. в разделе:
- Аудит (Премиум): требования к лицензированию
- Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям.

В этой статье представлен обзор возможностей аудита (Премиум) и показано, как настроить пользователей для аудита (Премиум).

Длительное хранение журналов аудита

Аудит (Премиум) сохраняет все записи аудита Exchange, SharePoint и Azure Active Directory в течение одного года. Это обеспечивается стандартной политикой хранения журнала аудита, сохраняющей в течение одного года все записи аудита, содержащие значение Exchange, SharePoint или AzureActiveDirectory для свойства Workload (указывает службу, в которой произошло действие). Хранение записей аудита в течение более длительных периодов может помочь при проведении расследований и анализа соответствия требованиям. Дополнительные сведения см. в разделе "Политика хранения журнала аудита по умолчанию" статьи Управление политиками хранения журнала аудита.

В дополнение к возможностям хранения записей аудита (Премиум) в течение одного года мы добавили возможность хранить журналы аудита в течение 10 лет. Она помогает поддерживать длительные расследования и реагировать на нормативные, правовые и внутренние обязательства.

Примечание

Для хранения журналов аудита в течение 10 лет потребуется дополнительная лицензия "на пользователя". После назначения этой лицензии пользователю и задания соответствующей политики 10-летнего срока хранения журналов аудита для этого пользователя начнется хранение журналов аудита, которые регулируются этой политикой, в течение 10 лет. Эта политика не имеет обратной силы и не применима к журналам аудита, созданным до ее появления. Подробнее см. в разделе часто задаваемых вопросов по аудиту (Премиум) этой статьи.

Политики хранения журнала аудита

Все записи аудита, созданные в других службах, не охватываемых политикой хранения журналов аудита по умолчанию (описанной в предыдущем разделе), сохраняются в течение 90 дней. Но вы можете создавать настраиваемые политики хранения журналов аудита для сохранения других записей аудита в течение более длительных периодов времени — до 10 лет. Можно создать политику для хранения записей аудита на основе одного или нескольких условий, указанных ниже:

  • Служба Microsoft 365, в которой происходят действия, подлежащие аудиту

  • Конкретные действия, подлежащие аудиту.

  • Пользователь, выполняющий действие, подлежащее аудиту.

Кроме того, вы можете указать срок хранения записей аудита, соответствующих политике, и уровень приоритета, чтобы определенные политики получали приоритет над другими политиками. Также обратите внимание, что любая настраиваемая политика хранения журнала аудита будет иметь приоритет над политикой хранения аудита по умолчанию, если вам потребуется сохранить записи аудита Exchange, SharePoint или Azure Active Directory сроком менее года (или более 10 лет) для некоторых или всех пользователей в организации. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.

События аудита (Премиум)

Аудит (Премиум) помогает организациям проводить криминалистические расследования и расследования соответствия, предоставляя доступ к важным событиям, таким как доступ к почтовым элементам, ответы на почтовые элементы и их переадресация, а также когда и что пользователь искал в Exchange Online и SharePoint Online. Эти события могут помочь исследовать возможные нарушения безопасности и определить масштаб угрозы. В дополнение к этим событиям в Exchange и SharePoint существуют события в других службах Microsoft 365, которые считаются важными событиями и требуют, чтобы пользователям была назначенасоответствующая лицензия на аудит (Премиум). Пользователям должна быть назначена лицензия на аудит (Премиум), чтобы журналы аудита создавались, когда пользователи выполняют эти события.

Аудит (Премиум) предоставляет следующие события:

MailItemsAccessed

Событие MailItemsAccessed является действием аудита почтового ящика и инициируется, когда доступ к данным почты осуществляется с помощью почтовых протоколов и почтовых клиентов. Это событие помогает исследователям выявить нарушение безопасности данных и определить объем сообщений, которые могли быть скомпрометированы. Если злоумышленник получает доступ к сообщениям электронной почты, действие MailItemsAccessed запускается даже в том случае, когда нет явного сигнала, что сообщения были действительно прочитаны (т. е. тип доступа, например с помощью привязки или синхронизации, регистрируется в записи аудита).

Событие MailItemsAccessed заменяет MessageBind в журнале аудита почтового ящика в Exchange Online и предоставляет следующие улучшения:

  • MessageBind можно было настроить только для типа входа пользователя AuditAdmin; он не применялся к действиям делегирования или владельца. MailItemsAccessed применяется ко всем типам подключения.

  • Действие MessageBind охватывает только доступ почтовым клиентом. Оно не применяется к действиям синхронизации. События MailItemsAccessed запускаются с помощью доступа привязки и синхронизации.

  • Действия MessageBind инициировали создание нескольких записей аудита при доступе к одному и тому же сообщению электронной почты, что приводило к "шуму" аудита. Напротив, события MailItemsAccessed объединяются в меньшее число записей аудита.

Дополнительные сведения о записях аудита для действий MailItemsAccessed см. в разделе Использование аудита (Премиум) для расследования скомпрометированных учетных записей.

Чтобы найти записи аудита MailItemsAccessed, можно выполнить поиск по действию "Доступ к элементам почтового ящика" в раскрывающемся списке "Действия почтового ящика Exchange" в средстве поискажурнала аудита портала соответствия.

Поиск действий MailItemsAccessed с помощью инструмента поиска в журнале аудита.

Кроме того, можно запустить команду Search-UnifiedAuditLog -Operations MailItemsAccessed или Search-MailboxAuditLog -Operations MailItemsAccessed в Exchange Online PowerShell.

Send

Событие Send также является действием аудита почтового ящика и инициируется, когда пользователь выполняет одно из указанных ниже действий.

  • Отправляет сообщение электронной почты

  • Отвечает на сообщение электронной почты

  • Пересылает сообщение электронной почты

Следователи могут использовать событие Send для определения сообщений, отправленных из скомпрометированной учетной записи. Запись аудита для события Send содержит сведения о сообщении, например о том, когда сообщение было отправлено, идентификатор сообщения Интернета, строку темы и сведения о том, содержало ли сообщение вложения. Эти данные аудита помогают следователям определить сведения о сообщениях электронной почты, отправленных из скомпрометированной учетной записи или злоумышленником. Кроме того, следователи могут использовать средство обнаружения электронных данных Microsoft 365 для поиска сообщения (используя строку темы или идентификатор сообщения) с целью определения получателей сообщения, а также фактического содержимого отправленного сообщения.

Чтобы найти записи аудита отправки, вы можете выполнить поиск активности отправленных сообщений в раскрывающемся списке активности почтового ящика Exchange в средстве поиска журнала аудита портала соответствия требованиям.

Поиск действий "Отправленное сообщение" с помощью инструмента поиска в журнале аудита.

Кроме того, можно запустить команду Search-UnifiedAuditLog -Operations Send или Search-MailboxAuditLog -Operations Send в Exchange Online PowerShell.

SearchQueryInitiatedExchange

Событие SearchQueryInitiatedExchange инициируется, когда кто-нибудь использует Outlook для поиска элементов в почтовом ящике. События инициируются при выполнении поисковых запросов в следующих средах Outlook.

  • Outlook (классический клиент)

  • Outlook в Интернете (OWA)

  • Outlook для iOS

  • Outlook для Android

  • Приложение "Почта" для Windows 10

Следователи могут использовать событие SearchQueryInitiatedExchange, чтобы определить, пытался ли злоумышленник, который скомпрометировал учетную запись, получить доступ к конфиденциальной информации в почтовом ящике. Запись аудита для события SearchQueryInitiatedExchange содержит такие сведения, как фактический текст поискового запроса. Запись аудита также указывает среду Outlook, в которой выполняется поиск. Просматривая поисковые запросы, которые мог выполнить злоумышленник, следователь может лучше понять цели поиска данных электронной почты.

Чтобы найти записи аудита о SearchQueryInitiatedExchange, можно выполнить поиск по действию Выполненные поисковые запросы в электронной почте в раскрывающемся списке Действия поиска в разделе Инструмент поиска в журнале аудита в Центре соответствия требованиям.

Поиск действий "Выполненные поисковые запросы в электронной почте" с помощью инструмента поиска в журнале аудита.

В Exchange Online PowerShell также можно выполнить Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange.

Примечание

Необходимо включить регистрацию SearchQueryInitiatedExchange, чтобы можно было найти это событие в журнале аудита.Инструкции см. в разделе Настройка аудита (Премиум).

SearchQueryInitiatedSharePoint

Аналогично поиску элементов в почтовом ящике, событие SearchQueryInitiatedSharePoint инициируется, когда пользователь ищет элементы в SharePoint. События инициируются при выполнении поисковых запросов на корневой странице или странице по умолчанию сайтов SharePoint следующих типов:

  • Домашние сайты

  • Информационные сайты

  • Центральные сайты

  • Сайты, связанные с Microsoft Teams

Следователи могут использовать событие SearchQueryInitiatedSharePoint, чтобы определить, пытался ли злоумышленник найти (и успешно ли) конфиденциальную информацию в SharePoint. Запись аудита для события SearchQueryInitiatedSharePoint также содержит фактический текст поискового запроса. Запись аудита также указывает на тип сайта SharePoint, на котором выполнялся поиск. Просматривая поисковые запросы, которые мог выполнить злоумышленник, следователь может лучше понять цели и объем искомых данных файлов.

Чтобы найти записи аудита о SearchQueryInitiatedSharePoint, можно выполнить поиск по действию Выполненные поисковые запросы SharePoint в раскрывающемся списке Действия поиска в разделе Инструмент поиска в журнале аудита в Центре соответствия требованиям.

Поиск действий "Выполненные поисковые запросы SharePoint" с помощью инструмента поиска в журнале аудита.

В Exchange Online PowerShell также можно выполнить Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint.

Примечание

Необходимо включить регистрацию SearchQueryInitiatedSharePoint, чтобы можно было выполнить поиск этого события в журнале аудита. Инструкции см.Настройка аудита (Премиум).

Другие события аудита (Премиум) в Microsoft 365

В дополнение к событиям в Exchange Online и SharePoint Online существуют события в других службах Microsoft 365, которые регистрируются, когда пользователям назначается соответствующее лицензирование аудита (Премиум). Следующие службы Microsoft 365 предоставляют события аудита (Премиум). Щелкните соответствующую ссылку, чтобы перейти к статье, в которой определены и описаны эти события.

Доступ с высокой пропускной способностью к API действий управления Office 365

В организациях, обращающихся к журналам аудита с помощью API действий управления Office 365, применялись ограничения регулирования на уровне издателя. Это означает, что для извлечения данных издателем от имени нескольких клиентов ограничение распространялось на всех этих клиентов.

С выпуском аудита (Премиум) мы переходим от ограничения на уровне издателя к ограничению на уровне клиента. В результате каждая организация будет иметь собственную полностью выделенную квоту пропускной способности для доступа к данным аудита. Пропускная способность не является статическим, предварительно определенным пределом, но она моделируется на основе сочетания факторов, включая число рабочих мест в организации и получение организациями E5/A5/G5 большей пропускной способности по сравнению с организациями без плана E5/A5/G5.

Для всех организаций изначально выделяется базовый уровень 2 000 запросов в минуту. Это ограничение будет динамически увеличиваться в зависимости от числа рабочих мест в организации и их подписок на лицензии. Организации E5/A5/G5 получат примерно вдвое большую пропускную способность, чем организации без плана E5/A5/G5. Для обеспечения нормальной работы службы также применяется ограничение максимальной пропускной способности.

Дополнительные сведения см. в разделе "Регулирование API" статьи Справочник по API действий управления Office 365.

Часто задаваемые вопросы по аудиту (Премиум)

Нужна ли каждому пользователю лицензия E5/A5/G5, чтобы воспользоваться преимуществами аудита (Премиум)?

Чтобы воспользоваться возможностями аудита (Премиум), пользователю необходимо назначить лицензию E5/A5/G5. Некоторые функции проверяют наличие у пользователя соответствующей лицензии перед тем, как предоставить ему возможность работать с ними. Например, если вы попытаетесь сохранить записи аудита для пользователя, которому не назначена необходимая лицензия на срок более 90 дней, система выведет сообщение об ошибке.

У моей организации есть подписка E5/A5/G5. Что мне нужно сделать, чтобы получить доступ к записям аудита для событий аудита (Премиум)?

Для соответствующих клиентов и пользователей, которым назначена соответствующая лицензия E5/A5/G5, не требуется никаких действий для получения доступа к событиям аудита (Премиум), за исключением включения событий SearchQueryInitiatedExchange и SearchQueryInitiatedSharePoint (как описано ранее в этой статье). События аудита (Премиум) будут генерироваться только для пользователей с лицензиями E5/A5/G5 после назначения этих лицензий.

Доступны ли новые события аудита (Премиум) в API действий управления Office 365?

Да. Пока записи аудита создаются для пользователей с соответствующей лицензией, вы можете получить доступ к этим записям через API активности управления Office 365.

Что произойдет с данными журнала аудита моей организации, если политика 10-летнего срока хранения журналов аудита создается, когда возможность уже стала общедоступной, но до того, как стала доступна дополнительная лицензия?

Все данные журнала аудита, на которые распространяется политика 10-летнего срока хранения журналов аудита, созданные после того, как возможность стала общедоступной в последний квартал 2020 года, будут храниться в течение 10 лет. Сюда также относятся политики 10-летнего срока хранения журналов аудита, которые были созданы до выпуска в продажу требуемой дополнительной лицензии в марте 2021 г. Тем не менее, поскольку дополнительная лицензия на 10-летний срок хранения журналов аудита уже доступна, вам необходимо приобрести и назначить эти дополнительные лицензии для всех пользователей, чьи данные аудита хранятся согласно политике 10-летнего срока хранения журналов аудита.