Microsoft Purview 稽核解決方案提供了整合式解決方案,可協助組織有效地回應安全性事件、鑑識調查、內部調查和合規性義務。 貴組織的統一稽核記錄會擷取、記錄及保留在數十個 Microsoft 服務和解決方案中執行的數千個使用者和系統管理員作業。 組織中的安全性作業、IT 系統管理員、內部風險小組,以及合規性和法律調查人員可以搜尋這些事件的稽核記錄。 此功能可讓您查看整個組織所執行的活動。
主要功能比較
下表比較稽核 (標準版) 和稽核 (進階版) 中提供的主要功能。 稽核 (進階) 包含所有稽核 (Standard) 功能。
| 功能 | 稽核 (標準版) | 稽核 (進階版) |
|---|---|---|
| 預設啟用 |
|
|
| 數千個可搜尋的稽核事件 |
|
|
| Microsoft Purview 入口網站中的稽核搜尋工具 |
|
|
| 稽核搜尋圖形 API |
|
|
| Search-UnifiedAuditLog cmdlet |
|
|
| 將稽核記錄匯出至 CSV 檔案 |
|
|
| 透過 Office 365 管理活動 API 存取稽核記錄 1 |
|
|
| 180 天稽核記錄保留 |
|
|
| 長達 1 年的稽核記錄保留 |
|
|
| 10 年稽核記錄保留 2 |
|
|
| 稽核記錄保留原則 |
|
|
| 智慧洞察 |
|
注意事項
1 稽核 (進階版) 包括對 Office 365 管理活動 API 的更高頻寬存取,提供對稽核資料的更快存取。
2 除了下一節) 中所述的 Audit (Premium) (所需的授權之外,還必須為使用者指派 10 年稽核記錄保留附加元件授權,才能將其稽核記錄保留 10 年。
稽核 (標準版)
Microsoft Purview 稽核 (Standard) 可讓您記錄和搜尋已稽核的活動,以支援您的鑑識、IT、合規和法律調查。
預設啟用。 預設情況下,稽核 (Standard) 會針對具有適當訂閱的所有組織啟用。 該配置會擷取並建立已審核活動的可搜尋記錄。 您只需指派必要的權限即可存取稽核記錄搜尋工具 (和對應的 cmdlet) ,並確保使用者擁有 Microsoft Purview 稽核 (Premium) 功能的正確授權。
數千個可搜尋的稽核事件。 您可以搜尋組織中大部分 Microsoft 服務中發生的各種稽核活動。 如需您可以搜尋的活動清單,請參閱 稽核記錄活動。 有關支援已稽核活動的服務和功能的清單,請參閱稽核記錄的記錄類型。
Microsoft Purview 入口網站中的稽核搜尋工具。 使用入口網站中的稽核記錄搜尋工具來搜尋稽核記錄。 您可以搜尋特定活動、特定使用者執行的活動,以及在日期範圍內發生的活動。
稽核搜尋圖形 API。 Microsoft Graph 提供統一的 API 端點,可在單一回應中從多個 Microsoft 雲端服務存取資料。 稽核搜尋圖形 API 可讓您透過 Microsoft Graph 以程式設計方式存取稽核搜尋體驗。
Search-UnifiedAuditLog cmdlet。 您還可以在 Exchange Online PowerShell (搜尋工具的基礎 cmdlet) 中使用 Search-UnifiedAuditLog cmdlet 來搜尋稽核事件或在指令碼中使用。 如需詳細資訊,請參閱:
將稽核記錄匯出至 CSV 檔案。 在 Microsoft Purview 入口網站中執行稽核記錄搜尋工具之後,您可以將搜尋所傳回的稽核記錄匯出至 CSV 檔案。 此程序可讓您使用 Microsoft Excel 來排序和篩選不同的稽核記錄屬性。 您還可以使用 Excel Power Query 轉換功能將 AuditData JSON 物件中的每個屬性分割至其資料行。 此程序可讓您有效地檢視和比較不同事件的類似資料。 如需詳細資訊,請參閱匯出、設定及檢視稽核記錄檔的記錄。
透過 Office 365 管理活動 API 存取稽核記錄。 存取和擷取稽核記錄的第三種方法是使用 Office 365 管理活動 API。 此方法可讓組織保留稽核資料的時間比預設的 180 天更長,並允許他們將稽核資料匯入 SIEM 解決方案。 如需詳細資訊,請參閱 Office 365 管理活動 API 參考。
180 天稽核記錄保留。 當使用者或管理員執行稽核活動時,系統會產生稽核記錄,並將其儲存在組織的稽核記錄中。 在「稽核 (Standard) 」中,系統會保留記錄 180 天,這表示您可以搜尋過去六個月內發生的活動。
重要事項
稽核 (Standard) 的預設保留期間從 90 天變更為 180 天。 2023 年 10 月 17 日之前產生的稽核 (Standard) 記錄會保留 90 天。 稽核 2023 年 10 月 17 日或之後產生的 (Standard) 記錄,遵循 180 天的新預設保留時間。
稽核 (進階版)
重要事項
傳統搜尋已於 2023 年 11 月 30 日淘汰。 新搜尋 功能包括增強功能,例如更快的搜尋時間、額外的搜尋選項、儲存搜尋的功能等等。
稽核 (進階) 以稽核 (Standard) 的功能為基礎,提供稽核記錄保留原則、稽核記錄的更長時間保留、高價值的智慧深入解析,以及對Office 365管理活動 API 的更高頻寬存取。
- 稽核記錄保留原則。 建立自訂稽核記錄保留原則,以將稽核記錄保留更長的時間,對於具有必要附加元件授權) 的使用者,最多保留 1 年 (和長達 10 年。 建立原則,以根據發生稽核活動的服務、特定稽核活動或執行稽核活動的使用者來保留稽核記錄。
- 稽核記錄的較長保留期。 Microsoft Entra ID、Exchange、OneDrive 和 SharePoint 稽核記錄預設會保留一年。 依預設,所有其他活動的稽核記錄會保留 180 天,或者您可以使用稽核記錄保留原則來設定較長的保留期間。
- 稽核 (Premium) 智慧深入解析。 智慧型深入解析的稽核記錄可讓您的組織進行取證和合規性調查,方法是提供事件的可見度,例如存取郵件項目的時間、回覆和轉寄郵件項目的時間,或使用者在 Exchange Online 和 SharePoint Online 中搜尋的時間和內容。 這些智慧型深入解析可協助您調查可能的違規行為,並判斷入侵的範圍。
- Office 365 管理活動 API 的更高頻寬。 稽核 (進階版) 透過 Office 365 管理活動 API 為組織提供了更多的頻寬以存取稽核記錄。 雖然所有具有稽核 (Standard) 或稽核 (進階版) ) 的組織 (最初都會收到每分鐘 2,000 個要求的基準,但此限制會根據組織的基座計數及其授權訂用帳戶動態增加。 這項變更會導致具有稽核 (進階版的組織) 獲得的頻寬大約是具有稽核 (Standard) 的組織的兩倍。
長期保留稽核記錄
稽核 (進階) 會將所有 Exchange、SharePoint 和 Microsoft Entra稽核記錄保留一年。 此保留是透過預設稽核記錄保留原則來發生,該原則會保留任何稽核記錄,其中包含 AzureActiveDirectory、Exchange、OneDrive 或 SharePoint 值,以針對 [工作負載] 屬性 (,指出發生活動的服務) 一年。 將稽核記錄保留較長時間有助於進行鑑識或合規性調查。 如需詳細資訊,請參閱管理稽核記錄保留原則中的「預設稽核記錄保留原則」章節。
除了 Audit (Premium) 的一年保留功能外,我們還發布了將稽核記錄保留 10 年的功能。 將稽核記錄保留 10 年可協助支援長期的調查,並回應法規、法律和內部責任。
注意事項
將稽核記錄保留 10 年需要額外的每使用者附加元件授權。 將此授權指派給使用者,並為該使用者設定適當的 10 年稽核記錄保留原則之後,該原則所涵蓋的稽核記錄會開始保留 10 年期間。 此原則不具有追溯性,而且無法保留在建立 10 年稽核記錄保留原則之前產生的稽核記錄。
稽核記錄保留原則
其他服務產生的所有稽核記錄,以及預設稽核記錄保留原則未涵蓋的稽核記錄都會保留 180 天。 您可以建立自訂稽核記錄保留原則,以將其他稽核記錄保留更長的時間,最長可達 10 年。 您可以根據下列一或多項準則,建立用來保留稽核記錄的原則:
稽核活動發生的 Microsoft 服務。
特定已稽核活動。
執行已稽核活動的使用者。
重要事項
稽核 (Standard) 的預設保留期間從 90 天變更為 180 天。 2023 年 10 月 17 日之前產生的稽核 (Standard) 記錄會保留 90 天。 稽核 2023 年 10 月 17 日或之後產生的 (Standard) 記錄,遵循 180 天的新預設保留時間。 您也可以指定保留符合原則和優先順序層級的稽核記錄的長度,以便特定原則優先於其他原則。 如果您需要將組織中部分或所有使用者的 Exchange、SharePoint 或 Microsoft Entra ID 稽核記錄保留少於一年或 10 年,則任何自訂稽核記錄保留原則都會優先於預設稽核保留原則。 如需詳細資訊,請參閱管理稽核記錄保留原則。
重要事項
資料的稽核項目存留期是在稽核管線新增資料時決定,並以授權預設值或適用的保留原則為基礎。 授權或適用保留原則的任何變更都會在更新後變更稽核資料的到期時間。 這些變更不會影響任何先前認可的專案。
稽核 (進階) 活動屬性
稽核 (進階) 可藉由提供重要事件的存取權,例如當使用者存取郵件項目、回覆和轉寄郵件項目,以及在 Exchange Online 和 SharePoint Online 中搜尋時,協助組織進行鑑識和合規性調查。 這些事件可協助您調查可能的外洩, 並判斷危害的範圍。 除了 Exchange 和 SharePoint 中的這些事件之外,其他Microsoft服務還包括需要為使用者指派 適當的稽核 (進階) 授權的重要事件。 將稽核 (Premium) 授權指派給使用者,以便系統在使用者執行這些事件時產生稽核記錄。
這些活動需要您指派 適當的稽核 (進階) 授權。 將稽核 (進階) 授權指派給使用者,以便系統在使用者執行這些活動和內容時產生稽核記錄。
稽核 (進階) 提供下列活動屬性的存取權:
Exchange Online
| 活動 | Property |
|---|---|
| MailItemsAccessed | SensitivityLabel |
Microsoft Teams
| 活動 | Property |
|---|---|
| 聊天創建 | 應用程式存取內容 |
| 聊天檢索 | 應用程式存取內容 |
| 聊天更新 | 應用程式存取內容 |
| 會議參與者詳細資料 | IsJoinedFromLobby 構件共享 |
| 訊息創建通知 | 應用程式存取內容 |
| 訊息刪除通知 | 應用程式存取內容 |
| MessageHostedContents已列出 | 應用程式存取內容 |
| MessageHostedContentRead | 應用程式存取內容 |
| 訊息已列出 | 應用程式存取內容 |
| 訊息讀取 | 應用程式存取內容 |
| 訊息已傳送 | AppAccessContext ParticipatingDomainInformation ParticipantInfo |
| MessageUpdated | 參與者資訊 AppAccessContext |
| 訊息更新通知 | 應用程式存取內容 |
| 訂閱訊息 | 應用程式存取內容 |
Office 365 管理活動 API 的高頻寬存取權
透過 Office 365 管理活動 API 存取稽核記錄的組織在發行者層級面臨節流限制。 此節流限制表示,如果發行者為多個客戶提取資料,則所有這些客戶都會共用相同的限制。
使用 Audit (Premium) ,此限制會從發行者層級限制變更為租用戶層級限制。 每個組織現在都有自己的完全配置的頻寬配額來存取其稽核資料。 頻寬不是靜態的預先定義限制。 相反,它是根據多種因素的組合建模的,包括組織中的席位數量。 E5、A5 和 G5 組織比非 E5、非 A5 和非 G5 組織獲得更多的頻寬。
所有組織最初都會收到每分鐘 2,000 個請求的基準。 此限制會根據組織的基座計數和授權訂閱動態增加。 E5、A5 和 G5 組織獲得的頻寬大約是非 E5、非 A5 和非 G5 組織的兩倍。 最大頻寬的上限可保護服務的健康情況。
如需詳細資訊,請參閱 Office 365 管理活動 API 參考中的 API 節流一節。
授權需求
開始之前,請檢閱 Audit (Standard) 和 Audit (Premium) 的訂閱需求。
訓練
針對稽核 (Standard) 和稽核 (進階) 的基本概念,訓練安全性作業小組、IT 系統管理員和合規性調查人員,可協助您的組織使用稽核來協助您進行調查,更快速地開始使用稽核。 Microsoft Purview 提供下列資源,可協助組織中的這些使用者開始稽核: 描述 Microsoft Purview 的電子檔探索和稽核功能。