使用英语阅读

通过


澳大利亚政府符合 PSPF 的审核日志注意事项

本文为澳大利亚政府组织提供有关 Microsoft 365 审核日志的指导。 它旨在帮助政府组织提高其安全性和合规性成熟度,同时遵守保护 性安全策略框架 (PSPF) 信息安全手册 (ISM) 中所述的要求。

Microsoft 365 审核日志是一种统一的日志记录服务,可跨 Microsoft 365 平台从多个服务和应用程序捕获事件。 它提供了一个位置,用于查看 Microsoft 365 服务的审核数据,例如 Exchange Online、SharePoint、OneDrive、Microsoft Teams、Power BI 等。

审核日志可用于跟踪组织中的用户和管理员活动,包括与敏感度标记相关的活动。 有关审核日志中捕获Microsoft Purview 和数据丢失防护 (DLP) 事件的信息,请参阅 通过 Microsoft 365 Management Microsoft Purview 审核日志活动

审核日志对于Microsoft Purview 部署非常重要,因为:

  • 审核日志保留有关谁向项应用标签的决策。
  • 审核日志保留有关标签更改的信息,包括标签更改理由。
  • 审核日志提供有关传入和传出项的信息。
  • 与其他报告位置相比,审核日志提供事件可见性,这些位置Microsoft 365 个活动可见, (例如,事件在活动资源管理器中可见 30 天) 。

审核日志保留要求

以下 ISM 要求涵盖了延长保留期的需求:

要求 详情
ISM-0859 (2024 年 6 月) 事件日志(不包括域名系统服务和 Web 代理的日志)将保留至少 7 年。

保留审核日志数据的默认时间长度与 Microsoft 365 许可级别相关联。 拥有 E3 许可证的组织将审核日志保留 90 天。 拥有 E5 许可的组织对 Entra、Exchange Online、OneDrive 和 SharePoint 的保留期为一年。

审核日志保留策略 延长了一组活动的审核信息的保留期。 审核策略可配置为将审核信息保留长达 10 年。

审核信息的长期保留需要审核 (Premium) 许可证。 有关审核日志保留的详细信息,请参阅 Microsoft Purview 中的审核解决方案

SIEM 集成

(SIEM) 的安全信息和事件管理系统旨在帮助组织在安全威胁损害业务运营之前检测、分析和响应这些威胁。 SIEM 引入日志信息并提供事件分析。 SIEM 用于提高威胁检测速度、支持安全事件、事件管理和合规性。

Microsoft Sentinel 是一种可缩放的云原生 SIEM,可为 SIEM 和安全业务流程、自动化和响应提供智能且全面的解决方案, (SOAR) 。 这意味着,Microsoft引入到 Sentinel (或等效的 SIEM) 中的 Purview 事件可以轻松进行分析,并可以生成高级报告

有关如何将Sentinel配置为引入Microsoft 365 审核日志数据的详细信息,请参阅如何将Office 365审核数据与 Microsoft Sentinel 配合使用