События
19 нояб., 23 - 10 янв., 23
Ignite Edition — создание навыков в продуктах безопасности Майкрософт и получение цифрового значка к 10 января!
ЗарегистрироватьсяЭтот браузер больше не поддерживается.
Выполните обновление до Microsoft Edge, чтобы воспользоваться новейшими функциями, обновлениями для системы безопасности и технической поддержкой.
В этой статье содержатся рекомендации для австралийских государственных организаций по журналу аудита Microsoft 365. Она предназначена для того, чтобы помочь государственным организациям повысить уровень безопасности и соответствия требованиям, соблюдая требования, изложенные в Руководстве по политике защиты безопасности (PSPF) и Руководстве по информационной безопасности (ISM).
Журнал аудита Microsoft 365 — это единая служба ведения журнала, которая регистрирует события из нескольких служб и приложений на платформе Microsoft 365. Он предоставляет единое расположение для просмотра данных аудита для служб Microsoft 365, таких как Exchange Online, SharePoint, OneDrive, Microsoft Teams, Power BI и т. д.
Журнал аудита можно использовать для отслеживания действий пользователей и администраторов в организации, включая действия, связанные с метками конфиденциальности. Сведения о событиях Microsoft Purview и защиты от потери данных (DLP), которые записываются в журнал аудита, см. в статье Действия журнала аудита Microsoft Purview с помощью управления Microsoft 365.
Журнал аудита важен для развертываний Microsoft Purview следующим образом:
Потребность в расширенном хранении покрывается следующим требованием ISM:
Требование | Detail (Сведения) |
---|---|
ISM-0859 (июнь 2024 г.) | Журналы событий, за исключением журналов для служб системы доменных имен и веб-прокси, хранятся не менее семи лет. |
Время хранения данных журнала аудита по умолчанию привязано к уровню лицензирования Microsoft 365. В организациях с лицензиями E3 журнал аудита хранится в течение 90 дней. В организациях с лицензированием E5 срок хранения entra, Exchange Online, OneDrive и SharePoint — один год.
Политики хранения журналов аудита расширяют хранение сведений об аудите для набора действий. Политики аудита можно настроить для хранения сведений об аудите в течение 10 лет.
Для долгосрочного хранения сведений об аудите требуются лицензии на аудит (премиум). Дополнительные сведения о хранении журналов аудита см. в статье Решения аудита в Microsoft Purview.
Системы управления информационной безопасностью и событиями безопасности (SIEM) предназначены для того, чтобы помочь организации обнаруживать, анализировать и реагировать на угрозы безопасности, прежде чем они нанесут ущерб бизнес-операциям. SIEM прием сведений журнала и анализ событий. SIEM используются для повышения скорости обнаружения угроз, поддержки инцидентов безопасности, управления событиями и соответствия требованиям.
Microsoft Sentinel — это масштабируемая облачная система SIEM, которая предоставляет интеллектуальное и комплексное решение для SIEM и оркестрации, автоматизации и реагирования (SOAR). Это означает, что события Microsoft Purview, полученные в Sentinel (или эквивалентный SIEM), легко анализируются и могут создавать расширенные отчеты.
Дополнительные сведения о том, как Sentinel можно настроить для приема данных журнала аудита Microsoft 365, см. в статье Использование данных аудита Office 365 с Microsoft Sentinel..
События
19 нояб., 23 - 10 янв., 23
Ignite Edition — создание навыков в продуктах безопасности Майкрософт и получение цифрового значка к 10 января!
Зарегистрироваться