Начало работы с решениями для аудита
Аудит Microsoft Purview (Standard) и аудит (премиум) позволяют искать записи аудита для действий, выполняемых пользователями и администраторами в различных службах Майкрософт. Так как аудит (Standard) включен по умолчанию для большинства организаций Microsoft 365, перед вами нужно выполнить только несколько действий, и другие пользователи в вашей организации могут выполнять поиск в журнале аудита. Есть еще несколько шагов по настройке, которые необходимо выполнить, чтобы использовать функции, доступные только в аудите (премиум).
Дополнительные сведения о возможностях аудита (Standard) и аудита (премиум) см. в статье Решения аудита Microsoft Purview.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Для лицензирования аудита (Standard) и аудита (премиум) требуется соответствующая подписка организации, предоставляющая доступ к средству поиска по журналам аудита и лицензирование для каждого пользователя, необходимое для ведения журнала и хранения записей аудита.
Когда проверяемое действие выполняется пользователем или администратором, запись аудита создается и сохраняется в журнале аудита для вашей организации. В разделе Аудит (Standard) и Аудит (Премиум) записи аудита хранятся и доступны для поиска в журнале аудита в течение 180 дней.
Важно!
Срок хранения по умолчанию для аудита (Standard) изменился с 90 до 180 дней. Журналы аудита (Standard), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (Standard), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.
Список требований к подписке и лицензированию для этих решений аудита см. в разделе Требования к подписке для аудита (Standard) и Аудита (премиум).
Администраторам и членам групп по расследованию должна быть назначена роль "Журналы аудита только просмотр" или "Журналы аудита" на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview для поиска или экспорта журнала аудита. По умолчанию эти роли назначаются группам ролей Читатель аудита и Диспетчер аудита на странице Группы ролей на портале Microsoft Purview и на странице Разрешения на портале соответствия требованиям.
Примечание
Для включения или отключения аудита и доступа к командлетам аудита в настоящее время требуются разрешения из Центра администрирования Exchange. Используйте существующие роли Журналы аудита и Журналы аудита только просмотр в Центре администрирования Exchange, чтобы предоставить доступ к командлетам аудита. Используйте существующую роль журналов аудита в Центре администрирования Exchange, чтобы предоставить доступ к включению или отключению аудита.
Вы также можете создать настраиваемые группы ролей с возможностью поиска в журнале аудита, добавив в настраиваемую группу ролей роли Журналы аудита только для просмотра или Журналы аудита . Дополнительные сведения см. в статье Разрешения на портале соответствия требованиям Microsoft Purview.
Примечание
Для доступа к API Graph аудита поиска требуется настройка дополнительных разрешений в Microsoft Graph. Дополнительные сведения см. в разделе Разрешения в API Graph аудита поиска.
Для поиска или экспорта журнала аудита администраторы или члены групп по расследованию должны быть назначены по крайней мере одной из следующих групп ролей, связанных с аудитом, на портале Microsoft Purview или на портале соответствия требованиям:
- Диспетчер аудита. Пользователь, назначенный группе ролей Диспетчер аудита , может искать и экспортировать журнал аудита, а также управлять параметрами аудита для клиента (например, включение или отключение ведения журнала аудита). Эта группа ролей предоставляет пользователю роли "Журналы аудита только просмотр " и "Журналы аудита ".
- Читатель аудита. Пользователь, назначенный группе ролей Читатель аудита , может выполнять только поиск и экспорт журнала аудита. Они не могут включить или отключить ведение журнала аудита. Эта группа ролей предоставляет пользователю роль Журналы аудита только для просмотра .
Необходимо явно включить два события (SearchQueryInitiatedExchange и SearchQueryInitiatedSharePoint) для ведения журнала, когда пользователи выполняют поиск в Exchange Online и SharePoint.
Чтобы включить аудит этих двух событий для пользователей, выполните следующий командлет (для каждого пользователя) в Exchange Online PowerShell:
Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}
В среде с поддержкой нескольких регионов необходимо выполнить команду Set-Mailbox в лесу, в котором находится почтовый ящик пользователя. Чтобы определить расположение почтового ящика пользователя, выполните следующий командлет:
Get-Mailbox <user identity> | FL MailboxLocations
Если командлет для включения аудита поисковых запросов ранее выполнялся в лесу, который отличается от леса, в который находится почтовый ящик пользователя, необходимо удалить значение SearchQueryInitiated из почтового ящика пользователя. Удалите значение, выполнив команду Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}
, а затем добавьте его в почтовый ящик пользователя в лесу, где находится почтовый ящик пользователя.
Совет
Организации, использующие аудит (Standard), могут пропустить этот шаг.
Функции аудита (премиум), такие как возможность ведения журнала интеллектуальной аналитики, требуют соответствующей лицензии E5, назначенной пользователям. Кроме того, для этих пользователей должен быть включен план приложения или службы расширенного аудита.
Чтобы убедиться, что приложение "Расширенный аудит" назначено пользователям, выполните следующие действия для каждого пользователя:
В Центр администрирования Microsoft 365 выберите Пользователи>Активные пользователи и выберите пользователя.
На всплывающей странице свойств пользователя выберите Лицензии и приложения.
В разделе Лицензии убедитесь, что пользователю назначена лицензия E5 или назначена соответствующая лицензия надстройки. Список лицензий, поддерживающих аудит (премиум), см. в разделе Требования к лицензированию аудита.
Разверните раздел Приложение и убедитесь, что установлен флажок Расширенный аудит Microsoft 365.
Если флажок не установлен, установите его и нажмите кнопку Сохранить изменения.
Ведение журнала аналитических сведений аудита (премиум) начинается в течение 24 часов.
Кроме того, если вы настроили действия почтового ящика, которые вошли в почтовые ящики пользователей или общие почтовые ящики, все новые события аудита (премиум), выпущенные корпорацией Майкрософт, не будут автоматически проверяться в этих почтовых ящиках. Сведения об изменении действий с почтовыми ящиками, аудит которых проводится для каждого типа входа, см. в разделе "Изменение или восстановление действий с почтовыми ящиками, зарегистрированных по умолчанию" статьи Управление аудитом почтовых ящиков.
Совет
Организации, использующие аудит (Standard), могут пропустить этот шаг.
В дополнение к политике по умолчанию, которая хранит записи аудита Microsoft Entra ID, Exchange, OneDrive и SharePoint в течение одного года, организации, использующие аудит (премиум), могут создавать политики хранения журналов аудита в соответствии с требованиями операций безопасности, ИТ-отделов и групп соответствия требованиям вашей организации.
Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.
Теперь, когда для вашей организации настроен аудит (Standard) или аудит (премиум), вы можете выполнить поиск в журнале аудита в Портал соответствия требованиям Microsoft Purview. Подробные рекомендации см. в разделе Поиск в журнале аудита.