Сведения о решениях аудита в Microsoft Purview
Решения для аудита Microsoft Purview — это интегрированное решение, помогающее организациям эффективно реагировать на события безопасности, судебные расследования, внутренние расследования и соблюдение обязательств. Тысячи операций пользователей и администраторов, выполняемых в десятках служб и решений Майкрософт, записываются, записываются и сохраняются в едином журнале аудита вашей организации. Записи аудита для этих событий доступны для поиска службе безопасности, ИТ-администраторам, командам по управлению внутренними рисками и исследователям в области законодательства и соответствия требованиям в организации. Эта возможность обеспечивает видимость действий, выполняемых в организации.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Сравнение основных возможностей
В приведенной ниже таблице сравниваются основные возможности, доступные для Аудита (стандарт) и Аудита (премиум). Все функции Аудита (стандарт) включены в Аудит (премиум).
Возможность | Аудит (стандарт) | Аудит (премиум) |
---|---|---|
Включено по умолчанию | ||
Тысячи событий аудита, доступных для поиска | ||
Средство поиска аудита на портале Microsoft Purview и портале соответствия требованиям | ||
Командлет Search-UnifiedAuditLog | ||
Экспорт записей аудита в CSV-файл | ||
Доступ к журналам аудита с помощью API действий управления Office 365 1 | ||
180-дневное хранение журнала аудита | ||
1-летний период хранения в журнале аудита | ||
10-летний период хранения в журнале аудита 2 | ||
Политики хранения журнала аудита | ||
Интеллектуальная аналитика |
Примечание.
1 Аудит (премиум) включает доступ с более высокой пропускной способностью к API действий управления Office 365, что обеспечивает более быстрый доступ к данным аудита.
2 В дополнение к обязательному лицензированию для аудита (premium) (описано в следующем разделе), пользователю должна быть назначена 10-летняя лицензия на хранение журналов аудита для хранения записей аудита в течение 10 лет.
Аудит (стандарт)
Аудит Microsoft Purview (стандарт) дает возможность регистрировать действия, подлежащие аудиту, выполнять их поиск и проводить судебную экспертизу, ИТ-исследования, а также исследования в области законодательства и соответствия требованиям.
Включено по умолчанию. Аудит (стандарт) включен по умолчанию для всех организаций с соответствующей подпиской. Это означает, что записи для проверенных действий фиксируются и доступны для поиска. Единственная настройка, которая необходима, — назначить нужные разрешения для доступа к средству поиска в журнале аудита (и соответствующему командлету) и убедиться, что пользователям назначена соответствующая лицензия для использования возможностей Аудита Microsoft Purview (премиум).
Тысячи событий аудита, доступных для поиска. Вы можете найти широкий спектр проверенных действий, которые выполняются в большинстве служб Майкрософт в вашей организации. Список действий, которые можно найти, см. в разделе Действия журнала аудита. Список служб и возможностей, поддерживающих аудит действий, см. в статье Тип записи в журнале аудита.
Средство поиска аудита на портале Microsoft Purview или на портале соответствия требованиям. Используйте средство поиска по журналам аудита на порталах для поиска записей аудита. Вы можете найти определенные действия, действия определенных пользователей и действия в определенном диапазоне дат.
Командлет Search-UnifiedAuditLog. Вы также можете применить командлет Search-UnifiedAuditLog в Exchange Online PowerShell (базовый командлет для средства поиска) для поиска событий аудита или для использования в сценарии. Дополнительные сведения см. в статьях:
Экспорт записей аудита в CSV-файл. После запуска средства поиска по журналам аудита на портале Microsoft Purview или на портале соответствия требованиям можно экспортировать записи аудита, возвращенные поиском, в CSV-файл. Это позволяет использовать Microsoft Excel для сортировки и фильтрации по различным свойствам записей аудита. Кроме того, можно использовать функции преобразования Power Query для Excel для выделения каждого свойства объекта JSON в столбце AuditData в отдельный столбец. Это позволяет эффективно просматривать и сравнивать схожие данные для разных событий. Дополнительные сведения см. в статье Экспорт, настройка и просмотр записей журнала аудита.
Доступ к журналам аудита с помощью API действий управления Office 365. Третий метод получения записей аудита и доступа к ним — использование API действий управления Office 365. Это позволяет организациям хранить данные аудита дольше, чем 180 дней по умолчанию, и позволяет им импортировать свои данные аудита в решение SIEM. Дополнительные сведения см. в статье Справочник по API действий управления Office 365.
180-дневное хранение журнала аудита. Когда проверяемое действие выполняется пользователем или администратором, запись аудита создается и сохраняется в журнале аудита для вашей организации. В разделе Аудит (стандартный) записи хранятся в течение 180 дней, что означает, что вы можете искать действия, выполненные в течение последних шести месяцев.
Важно!
Срок хранения по умолчанию для аудита (стандартный) изменился с 90 до 180 дней. Журналы аудита (стандартный), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (стандартный), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.
Аудит (премиум)
Важно!
Классический поиск был прекращен с 30 ноября 2023 г. Новый поиск включает в себя усовершенствования, такие как более быстрое время поиска, дополнительные параметры поиска, возможность сохранения поисковых запросов и многое другое.
Аудит (премиум) основан на возможностях аудита (стандартный), предоставляя политики хранения журналов аудита, более длительное хранение записей аудита, ценные интеллектуальные аналитические сведения и более высокий доступ к API действий управления Office 365.
- Политики хранения журнала аудита. Для хранения записей аудита в течение более длительных периодов времени — до одного года (до 10 лет для пользователей с требуемой дополнительной лицензией) — можно создавать настраиваемые политики хранения журнала аудита. Вы можете создать политику для хранения записей аудита с учетом службы, в которой выполняются действия, подлежащие аудиту, определенных действий, подлежащих аудиту, или пользователя, который выполняет действие, подлежащее аудиту.
- Более длительный период хранения записей аудита. записи аудита Microsoft Entra ID, Exchange, OneDrive и SharePoint по умолчанию хранятся в течение одного года. Записи аудита для всех остальных действий хранятся в течение 180 дней по умолчанию, или вы можете использовать политики хранения журнала аудита для настройки более длительных периодов хранения.
- Интеллектуальная аналитика аудита (премиум). Записи аудита для интеллектуальной аналитики могут помочь вашей организации проводить судебно-медицинские исследования и исследования соответствия требованиям, обеспечивая видимость таких событий, как доступ к почтовым элементам, ответы и пересылка почтовых элементов, а также время и то, что пользователь искал в Exchange Online и SharePoint Online. Эти интеллектуальные аналитические сведения помогут вам исследовать возможные нарушения и определить область компрометации.
- Более высокая пропускная способность для API действий управления Office 365. Аудит (премиум) предоставляет организациям большую пропускную способность для доступа к журналам аудита с помощью API действий управления Office 365. Хотя для всех организаций (с Аудитом (стандарт) и Аудитом (премиум)) первоначально выделяется 2000 запросов в минуту, это ограничение будет динамически увеличиваться в зависимости от числа рабочих мест в организации и подписки на лицензии. В результате в организациях с Аудитом (премиум) пропускная способность примерно в два раза больше, чем в организациях с Аудитом (стандарт).
Длительное хранение журналов аудита
Аудит (премиум) сохраняет все записи аудита Exchange, SharePoint и Microsoft Entra в течение одного года. Это достигается с помощью политики хранения журнала аудита по умолчанию, которая сохраняет любую запись аудита, содержащую значение AzureActiveDirectory, Exchange, OneDrive или SharePoint, для свойства Workload (которое указывает службу, в которой произошло действие) в течение одного года. Хранение записей аудита в течение более длительных периодов может помочь при проведении расследований и анализа соответствия требованиям. Дополнительные сведения см. в разделе "Политика хранения журнала аудита по умолчанию" статьи Управление политиками хранения журнала аудита.
Помимо возможностей аудита (премиум) сроком на один год, мы также выпустили возможность хранить журналы аудита в течение 10 лет. Она помогает поддерживать длительные расследования и реагировать на нормативные, правовые и внутренние обязательства.
Примечание.
Для хранения журналов аудита в течение 10 лет требуется дополнительная лицензия на надстройку для каждого пользователя. После назначения этой лицензии пользователю и задания соответствующей политики 10-летнего срока хранения журналов аудита для этого пользователя начнется хранение журналов аудита, которые регулируются этой политикой, в течение 10 лет. Эта политика не имеет обратной силы и не применима к журналам аудита, созданным до ее появления.
Политики хранения журнала аудита
Все записи аудита, созданные в других службах, на которые не распространяется политика хранения журнала аудита по умолчанию (описано в предыдущем разделе), хранятся в течение 180 дней. Но вы можете создавать настраиваемые политики хранения журналов аудита для сохранения других записей аудита в течение более длительных периодов времени — до 10 лет. Можно создать политику для хранения записей аудита на основе одного или нескольких условий, указанных ниже:
Служба Майкрософт, в которой выполняются проверенные действия.
Конкретные действия, подлежащие аудиту.
Пользователь, выполняющий действие, подлежащее аудиту.
Важно!
Срок хранения по умолчанию для аудита (стандартный) изменился с 90 до 180 дней. Журналы аудита (стандартный), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (стандартный), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.
Вы также можете указать, как долго хранить записи аудита, соответствующие политике и уровню приоритета, чтобы определенные политики были приоритетными по сравнению с другими политиками. Кроме того, обратите внимание, что любая настраиваемая политика хранения журнала аудита имеет приоритет над политикой хранения аудита по умолчанию, если вам нужно хранить записи аудита Exchange, SharePoint или Azure Active Directory менее года (или в течение 10 лет) для некоторых или всех пользователей в вашей организации. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.
Важно!
Время существования элемента аудита для данных определяется при добавлении в конвейер аудита и основано на параметрах лицензирования по умолчанию или применимых политиках хранения. Любые изменения в лицензировании или применимых политиках хранения изменяют срок действия данных аудита после обновления. Эти изменения не изменяют ранее зафиксированные элементы.
Свойства действия аудита (премиум)
Аудит (Премиум) помогает организациям проводить криминалистические расследования и расследования соответствия, предоставляя доступ к важным событиям, таким как доступ к почтовым элементам, ответы на почтовые элементы и их переадресация, а также когда и что пользователь искал в Exchange Online и SharePoint Online. Эти события могут помочь исследовать возможные нарушения безопасности и определить масштаб угрозы. Помимо этих событий в Exchange и SharePoint, существуют события в других службах Майкрософт, которые считаются важными событиями и требуют, чтобы пользователям была назначена соответствующая лицензия аудита (Premium). Пользователям должна быть назначена лицензия аудита (премиум), чтобы журналы аудита создавались при выполнении пользователями этих событий.
Эти действия требуют, чтобы пользователям была назначена соответствующая лицензия аудита (Premium). Пользователям должна быть назначена лицензия аудита (Премиум), чтобы журналы аудита создавались при выполнении пользователями этих действий и свойств.
Аудит (премиум) предоставляет доступ к следующим свойствам действия:
Exchange Online.
Действия | Свойство |
---|---|
MailItemsAccessed | SensitivityLabel |
Microsoft Teams
Действия | Свойство |
---|---|
ChatCreated | AppAccessContext |
ChatRetrieved | AppAccessContext |
ChatUpdated | AppAccessContext |
MeetingParticipantDetail | IsJoinedFromLobby ArtifactShared |
MessageCreatedNotification | AppAccessContext |
MessageDeletedNotification | AppAccessContext |
MessageHostedContentsListed | AppAccessContext |
MessageHostedContentRead | AppAccessContext |
MessagesListed | AppAccessContext |
MessageRead | AppAccessContext |
MessageSent | AppAccessContext ParticipatingDomainInformation ParticipantInfo |
MessageUpdated | ParticipantInfo AppAccessContext |
MessageUpdatedNotification | AppAccessContext |
SubscribedToMessages | AppAccessContext |
Доступ с высокой пропускной способностью к API действий управления Office 365
В организациях, обращающихся к журналам аудита с помощью API действий управления Office 365, применялись ограничения регулирования на уровне издателя. Это означает, что для извлечения данных издателем от имени нескольких клиентов ограничение распространялось на всех этих клиентов.
При использовании аудита (премиум) это значение изменилось с ограничения на уровне издателя на ограничение на уровне клиента. В результате каждая организация получает собственную полностью выделенную квоту пропускной способности для доступа к данным аудита. Пропускная способность не является статическим предопределенным ограничением, но смоделирована на основе сочетания факторов, включая количество рабочих мест в организации и то, что организации E5,A5/G5 получают большую пропускную способность, чем организации, отличные от E5/A5/G5.
Для всех организаций изначально выделяется базовый уровень 2 000 запросов в минуту. Это ограничение динамически увеличивается в зависимости от количества рабочих мест в организации и подписки на лицензирование. Организации E5,A5/G5 получают примерно в два раза больше пропускной способности, чем организации, не являющиеся E5/A5/G5. Существует ограничение на максимальную пропускную способность для защиты работоспособности службы.
Дополнительные сведения см. в разделе Регулирование API в справочнике по API действий управления Office 365.
Требования к лицензированию
Прежде чем приступить к работе, ознакомьтесь с требованиями к подписке для аудита (стандартный) и аудита (премиум).
Обучение
Обучение команды службы безопасности, ИТ-администраторов и команды исследователей в области соответствия требованиям работы с Аудитом (стандарт) и Аудитом (премиум) может помочь организации скорее приступить к использованию аудита в исследованиях. Microsoft Purview предоставляет следующий ресурс, чтобы помочь сотрудникам организации начать работу с аудитом: Описание возможностей обнаружения электронных данных и аудита Microsoft Purview.