澳大利亞政府與 PSPF 合規性的稽核記錄考慮
本文提供澳大利亞政府組織在 Microsoft 365 稽核記錄的指引。 其目的是要協助政府組織提升其安全性和合規性成熟度,同時遵循保護 安全策略架構 (PSPF) 和 資訊安全性手冊 (ISM) 中所述的需求。
Microsoft 365 稽核記錄是統一的記錄服務,可從Microsoft 365 平臺上的多個服務和應用程式擷取事件。 它提供單一位置來檢視 Microsoft 365 服務的稽核數據,例如 Exchange Online、SharePoint、OneDrive、Microsoft Teams、Power BI 等等。
稽核記錄可用來追蹤組織中的使用者和系統管理員活動,包括與敏感度標籤相關的活動。 如需稽核記錄中所擷取的 Microsoft Purview 和數據外洩防護 (DLP) 事件的相關信息,請 參閱透過 Microsoft 365 管理Microsoft Purview 稽核記錄活動。
稽核記錄對於 Purview 部署Microsoft很重要,如下所示:
- 稽核記錄會保留有關誰將標籤套用至項目的決策。
- 稽核記錄會保留標籤變更的相關信息,包括標籤變更理由。
- 稽核記錄會提供傳入和傳出專案的相關信息。
- 稽核記錄可讓您在其他報告位置看到Microsoft 365 個活動時段內較長的事件可見 (例如,事件會在活動總管中顯示 30 天) 。
下列 ISM 需求涵蓋延長保留的需求:
需求 | 詳細資料 |
---|---|
ISM-0859 (2024 年 6 月) | 事件記錄檔,不包括域名系統服務和 Web Proxy 的事件記錄檔,會保留至少七年。 |
稽核記錄數據保留的默認時間長度會系結至Microsoft 365 授權層級。 具有 E3 授權的組織具有 90 天的稽核記錄保留期。 具有 E5 授權的組織具有 Entra、Exchange Online、OneDrive 和 SharePoint 的保留期為一年。
稽核記錄保留原則 會延長一組活動的稽核資訊保留期。 稽核原則可以設定為保留稽核資訊最多 10 年。
長期保留稽核資訊需要稽核 (進階) 授權。 如需稽核記錄保留的詳細資訊,請參 閱 Microsoft Purview 中的稽核解決方案。
SIEM) (安全性資訊和事件管理系統是設計來協助組織偵測、分析及回應安全性威脅,然後再危害商務作業。 SIEM 會擷取記錄資訊,並提供事件的分析。 SIEM 可用來提高威脅偵測的速度、支援安全性事件、事件管理和合規性。
Microsoft Sentinel 是可調整的雲端原生 SIEM,可為 SIEM 和安全性協調流程、自動化和回應 (SOAR) 提供智慧型手機且完整的解決方案。 這表示Microsoft會輕鬆地分析擷取至 Sentinel (或對等 SIEM) 的 Purview 事件,併產生進階報告。
如需如何設定 Sentinel 以內嵌Microsoft 365 稽核記錄數據的詳細資訊,請參閱如何使用 Office 365 Audit Data 搭配 Microsoft Sentinel。。