Описание аудита в Microsoft Purview

  • 4 мин

Решения для аудита в Microsoft Purview помогают организациям эффективно реагировать на события безопасности, криминалистические расследования, внутренние расследования и обязательства по соответствию требованиям. Тысячи операций пользователей и администраторов, выполняемых в десятках служб и решений Microsoft 365, сканируются, записываются и сохраняются в едином журнале аудита вашей организации. Записи аудита для этих событий доступны для поиска с помощью операций безопасности, ИТ-администраторов, групп внутренних рисков, а также соответствия требованиям и юридических следователей в вашей организации. Эта возможность обеспечивает видимость действий, выполняемых в организации Microsoft 365.

Microsoft Purview предоставляет два решения для аудита:

  • Аудит (стандарт)
  • Аудит (Премиум)

Аудит (стандарт)

Аудит (стандартный) включен по умолчанию для всех организаций с соответствующей подпиской и доступен пользователям с соответствующими разрешениями. Когда аудит активности выполняется пользователем или администратором, создается запись аудита и хранится в журнале аудита для вашей организации. В аудите (стандартная категория) записи хранятся в течение 180 дней. Журналы аудита, происходящие в большинстве служб Microsoft 365 в организации, можно получить с помощью следующих методов:

  • Средство поиска по журналам аудита на портале Microsoft Purview.
  • API действий управления Office 365
  • Командлет Search-UnifiedAuditLog в Exchange Online PowerShell

После поиска в журнале аудита можно экспортировать записи аудита, возвращаемые поиском, в CSV-файл, включив дальнейший анализ с помощью Microsoft Excel или Excel Power Query.

Аудит (Премиум)

Аудит (Премиум) основывается на возможностях аудита (стандартный), предоставляя политики хранения журналов аудита, более длительное хранение записей аудита, высокоценные интеллектуальные аналитические сведения и более высокий доступ к API действий управления Office 365.

  • Политики хранения журнала аудита. Вы можете создать настраиваемые политики хранения журналов аудита для хранения записей аудита в течение более длительного периода до одного года (и до 10 лет для пользователей с обязательной лицензией на надстройку).
  • Более длительный период хранения записей аудита. По умолчанию записи аудита Microsoft Entra ID, Exchange, OneDrive и SharePoint сохраняются в течение одного года. Записи аудита для всех других действий хранятся в течение 180 дней по умолчанию или можно использовать политики хранения журналов аудита для настройки более длительных периодов хранения.
  • Интеллектуальные аналитические сведения аудита (Премиум). Записи аудита для интеллектуальной аналитики могут помочь вашей организации проводить судебно-медицинские исследования и расследования соответствия, обеспечивая видимость событий, таких как когда были доступны почтовые элементы, или когда сообщения были отправлены и переадресованы, или когда и когда пользователь искал в Exchange Online и SharePoint Online. Эти интеллектуальные аналитические сведения помогут вам исследовать возможные нарушения и определить область компрометации.
  • Более высокая пропускная способность для API действий управления Office 365. Аудит (премиум) предоставляет организациям большую пропускную способность для доступа к журналам аудита с помощью API действий управления Office 365.

Лицензирование

Для лицензирования Аудита (Стандартный) или Аудита (Премиум) требуется соответствующая подписка уровня организации и соответствующее лицензирование каждого пользователя. Дополнительные сведения о требованиях к лицензированию см. в разделе "Дополнительные сведения" в уроке "Сводка и ресурсы".