Прочитать на английском

Поделиться через


Рекомендации по журналу аудита для соответствия австралийского правительства требованиям PSPF

В этой статье содержатся рекомендации для австралийских государственных организаций по журналу аудита Microsoft 365. Она предназначена для того, чтобы помочь государственным организациям повысить уровень безопасности и соответствия требованиям, соблюдая требования, изложенные в Руководстве по политике защиты безопасности (PSPF) и Руководстве по информационной безопасности (ISM).

Журнал аудита Microsoft 365 — это единая служба ведения журнала, которая регистрирует события из нескольких служб и приложений на платформе Microsoft 365. Он предоставляет единое расположение для просмотра данных аудита для служб Microsoft 365, таких как Exchange Online, SharePoint, OneDrive, Microsoft Teams, Power BI и т. д.

Журнал аудита можно использовать для отслеживания действий пользователей и администраторов в организации, включая действия, связанные с метками конфиденциальности. Сведения о событиях Microsoft Purview и защиты от потери данных (DLP), которые записываются в журнал аудита, см. в статье Действия журнала аудита Microsoft Purview с помощью управления Microsoft 365.

Журнал аудита важен для развертываний Microsoft Purview следующим образом:

  • В журнале аудита сохраняются решения о том, кто применял метки к элементам.
  • В журнале аудита хранятся сведения об изменениях меток, включая обоснования изменения меток.
  • Журнал аудита содержит сведения о входящих и исходящих элементах.
  • Журнал аудита обеспечивает видимость событий в течение более длительных периодов времени, чем другие расположения отчетов, в которых видны действия Microsoft 365 (например, события отображаются в обозревателе действий в течение 30 дней).

Требования к хранению журнала аудита

Потребность в расширенном хранении покрывается следующим требованием ISM:

Требование Detail (Сведения)
ISM-0859 (июнь 2024 г.) Журналы событий, за исключением журналов для служб системы доменных имен и веб-прокси, хранятся не менее семи лет.

Время хранения данных журнала аудита по умолчанию привязано к уровню лицензирования Microsoft 365. В организациях с лицензиями E3 журнал аудита хранится в течение 90 дней. В организациях с лицензированием E5 срок хранения entra, Exchange Online, OneDrive и SharePoint — один год.

Политики хранения журналов аудита расширяют хранение сведений об аудите для набора действий. Политики аудита можно настроить для хранения сведений об аудите в течение 10 лет.

Для долгосрочного хранения сведений об аудите требуются лицензии на аудит (премиум). Дополнительные сведения о хранении журналов аудита см. в статье Решения аудита в Microsoft Purview.

Интеграция SIEM

Системы управления информационной безопасностью и событиями безопасности (SIEM) предназначены для того, чтобы помочь организации обнаруживать, анализировать и реагировать на угрозы безопасности, прежде чем они нанесут ущерб бизнес-операциям. SIEM прием сведений журнала и анализ событий. SIEM используются для повышения скорости обнаружения угроз, поддержки инцидентов безопасности, управления событиями и соответствия требованиям.

Microsoft Sentinel — это масштабируемая облачная система SIEM, которая предоставляет интеллектуальное и комплексное решение для SIEM и оркестрации, автоматизации и реагирования (SOAR). Это означает, что события Microsoft Purview, полученные в Sentinel (или эквивалентный SIEM), легко анализируются и могут создавать расширенные отчеты.

Дополнительные сведения о том, как Sentinel можно настроить для приема данных журнала аудита Microsoft 365, см. в статье Использование данных аудита Office 365 с Microsoft Sentinel..