介绍 Microsoft Purview 中的审核解决方案
Microsoft Purview 中的审核解决方案可帮助组织有效地响应安全事件、法医鉴定、内部调查和合规义务。 在组织的统一审核日志中捕获、记录并保留在数十个 Microsoft 365 服务和解决方案中执行的数以千计的用户和管理员操作。 组织中的安全操作人员、IT 管理员、内部风险团队以及合规性和法律调查员可以搜索这些事件的审核记录。 此功能提供对跨 Microsoft 365 组织执行的活动的可见性。
Microsoft Purview 提供两种审核解决方案:审核(标准版)和审核(高级版)。
审核(标准版)。 审核(标准版)能够记录和搜索已审核的活动,并为法医鉴定、IT、合规性和法律调查提供支持。 审核(标准版)默认为所有具有相应订阅的组织启用。 你可以搜索组织的大多数 Microsoft 365 服务中发生的各种审核活动。 还可以使用 Office 365 管理活动 API 检索审核记录。 你可以将搜索返回的审核记录导出到 CSV 文件,以便使用 Microsoft Excel 或 Excel Power Query 进行进一步分析。
审核(高级版)。 审核(高级版)基于审核(标准版)的功能构建。 审核(高级版)提供审核日志保留策略和更长的审核记录保留期。 它提供智能见解,可帮助调查可能的违规行为并确定危害的范围。 审核(高级版)还为组织提供更多的带宽,以便通过 Office 365 管理活动 API 访问审核日志。
在审核(标准版)和审核(高级版)中,审核记录在审核日志中保留 180 天,并且在其中可供搜索。
事件发生后,可能需要长达 30 分钟或最长 24 小时才能在审核日志搜索结果中返回相应的审核日志记录。
审核(标准版)或审核(高级版)的许可需要适当的组织级订阅和相应的每个用户许可。 有关许可要求的更多信息,请访问摘要和资源单元中的“了解详细信息”部分。
必须在 Exchange Online 中为管理员和调查团队成员分配“仅查看审核日志”或“审核日志”角色才能搜索审核日志。 默认情况下,这些角色将分配给 Exchange 管理中心的“权限”页上的“符合性管理”和“组织管理”角色组。