瞭解 Microsoft Purview 中的稽核解決方案

Microsoft Purview 稽核解決方案提供了整合式解決方案,可協助組織有效地回應安全性事件、鑑識調查、內部調查和合規性義務。 在數十個 Microsoft 365 服務和解決方案中執行的數千個使用者和管理作業被擷取、記錄並保留在組織的整合稽核記錄中。 這些事件的稽核記錄可由組織中的安全性操作員、IT 管理員、內部風險小組以及合規性和法律調查人員進行搜尋。 此功能提供了對跨 Microsoft 365 組織執行的活動的可見度。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

主要功能比較

下表比較稽核 (標準版) 和稽核 (進階版) 中提供的主要功能。 所有稽核 (標準版) 功能都包含在稽核 (進階版) 中。

功能 稽核 (標準版) 稽核 (進階版)
預設啟用 支援。 支援。
數千個可搜尋的稽核事件 支援。 支援。
合規性入口網站中的稽核搜尋工具 支援。 支援。
Search-UnifiedAuditLog cmdlet 支援。 支援。
將稽核記錄匯出至 CSV 檔案 支援。 支援。
透過 Office 365 管理活動 API 存取稽核記錄 1 支援。 支援。
180 天稽核記錄保留期 支援。 支援。
1 年稽核記錄保留 支援。
10 年稽核記錄保留 2 支援
稽核記錄保留原則 支援
智慧型深入解析 支援

注意事項

1 稽核 (進階版) 包括對 Office 365 管理活動 API 的更高頻寬存取,提供對稽核資料的更快存取。
2 除了下一節) 所述的稽核 (Premium) (必要授權之外,還必須將 10 年稽核記錄保留附加元件授權指派給使用者,才能保留其稽核記錄 10 年。

稽核 (標準版)

Microsoft Purview 稽核 (基本版) 提供了記錄和搜尋已稽核活動的功能,並協助您的鑑識、IT、合規性和法律調查。

  • 預設啟用。 根據預設,所有具有相應訂閱的組織都會啟用稽核 (基本版)。 這表示已稽核活動的記錄會被擷取並可搜尋。 唯一需要的設定是指派存取稽核記錄搜尋工具 (和相應的 cmdlet) 所需的授權,並確定為使用者指派了 Microsoft Purview 稽核 (進階版) 功能的正確權限。

  • 數千個可搜尋的稽核事件。 您可以搜尋範圍廣泛、發生在貴組織中的大多數 Microsoft 365 服務中的已稽核活動。 如需您可以搜尋的活動清單,請參閱 稽核記錄活動。 有關支援已稽核活動的服務和功能的清單,請參閱稽核記錄的記錄類型

  • Microsoft Purview 合規性入口網站中的稽核記錄搜尋工具。 使用合規性入口網站中的稽核記錄搜尋工具來搜尋稽核記錄。 您可以搜尋特定活動、特定使用者執行的活動以及日期範圍內發生的活動。

  • Search-UnifiedAuditLog cmdlet。 您還可以在 Exchange Online PowerShell (搜尋工具的基礎 cmdlet) 中使用 Search-UnifiedAuditLog cmdlet 來搜尋稽核事件或在指令碼中使用。 如需詳細資訊,請參閱:

  • 將稽核記錄匯出至 CSV 檔案。 在合規性入口網站執行稽核記錄搜尋工具後,可以將搜尋返回的稽核記錄匯出至 CSV 檔案。 這可讓您對不同的稽核記錄屬性使用 Microsoft Excel 排序和篩選。 您還可以使用 Excel Power Query 轉換功能將 AuditData JSON 物件中的每個屬性分割至其資料行。 這可讓您有效地檢視和比較不同事件的類似資料。 如需詳細資訊,請參閱匯出、設定及檢視稽核記錄檔的記錄

  • 透過 Office 365 管理活動 API 存取稽核記錄。 存取和擷取稽核記錄的第三種方法是使用 Office 365 管理活動 API。 這可讓組織保留超過預設 180 天的稽核數據,並讓他們將稽核數據匯入 SIEM 解決方案。 如需詳細資訊,請參閱 Office 365 管理活動 API 參考

  • 180 天稽核記錄保留期。 當使用者或系統管理員執行稽核的活動時,稽核記錄會隨即產生,並儲存在您組織的稽核記錄中。 在稽核 (標準) 中,記錄會保留 180 天,這表示您可以搜尋過去六個月內發生的活動。

重要事項

稽核 (標準) 的預設保留期限已從 90 天變更為 180 天。 稽核 (2023 年 10 月 17 日之前產生的標準) 記錄會保留 90 天。 稽核 (2023 年 10 月 17 日或之後產生的標準) 記錄會遵循 180 天的新預設保留期。

稽核 (進階版)

重要事項

自 2023 年 11 月 30 日起,傳統搜尋已淘汰。 新的搜尋 包含增強功能,例如更快的搜尋時間、其他搜尋選項、儲存搜尋的能力等等。

稽核 (進階) 是以稽核 (標準) 的功能為基礎,方法是提供稽核記錄保留原則、較長的稽核記錄保留期、高價值智慧型手機深入解析,以及更高的 Office 365 管理活動 API 的頻寬存取權。

  • 稽核記錄保留原則。 您可以建立自訂稽核記錄保留原則,以將稽核記錄保留更長的時間,上限為一年 (對於具有所需附加元件授權的使用者,上限為 10 年)。 您可以建立原則,保留根據發生稽核活動的服務、特定稽核活動或執行稽核活動的使用者之稽核記錄。
  • 稽核記錄的較長保留期。 Microsoft Entra ID、Exchange、OneDrive 和 SharePoint 稽核記錄預設會保留一年。 所有其他活動的稽核記錄預設會保留 180 天,或者您可以使用稽核記錄保留原則來設定較長的保留期間。
  • 稽 (進階) 智慧型手機深入解析。 智慧型深入解析的稽核記錄可協助貴組織進行鑑識和合規性調查,方法是提供事件的可見度,例如何時存取郵件專案、何時回復和轉寄郵件專案,或使用者在 Exchange Online 和 SharePoint Online 中搜尋的時機和內容。 這些智慧型手機深入解析可協助您調查可能的缺口,並判斷入侵的範圍。
  • Office 365 管理活動 API 的更高頻寬。 稽核 (進階版) 透過 Office 365 管理活動 API 為組織提供了更多的頻寬以存取稽核記錄。 儘管所有組織 (具有稽核 (基本版) 或稽核 (進階版)) 最初配置的基準為每分鐘 2,000 個要求,但此限制將根據組織的基座數及其授權訂閱動態增加。 這導致使用稽核 (進階版) 的組織取得的頻寬是使用稽核 (基本版) 組織的兩倍。

長期保留稽核記錄

稽核 (進階) 保留所有 Exchange、SharePoint 和 Microsoft Entra 稽核記錄一年。 這是由預設稽核記錄保留原則來完成,該原則會保留任何包含 Workload 屬性之 AzureActiveDirectoryExchangeOneDriveSharePoint 值的稽核記錄 (這表示活動發生的服務) 一年。 保留稽核記錄的時間越長,可協助您進行深入的鑑定或合規性調查。 如需詳細資訊,請參閱管理稽核記錄保留原則中的「預設稽核記錄保留原則」章節。

除了稽核 (Premium) 的一年保留功能之外,我們也發行了保留稽核記錄 10 年的功能。 將稽核記錄保留 10 年可協助支援長期的調查,並回應法規、法律和內部責任。

注意事項

保留稽核記錄 10 年需要額外的每位使用者附加元件授權。 指派此授權給使用者並針對該使用者設定適當的 10 年稽核記錄保留原則之後,該原則涵蓋的稽核記錄就會開始保留 10 年。 此原則沒有回溯性, 且無法保留建立 10 年稽核記錄保留原則之前產生的稽核記錄。

稽核記錄保留原則

在其他服務中產生的所有稽核記錄,未涵蓋在上一節所述的預設稽核記錄保留原則 () 會保留 180 天。 不過,您可以建立自訂的稽核記錄保留原則,將其他稽核記錄保留更久的時間,最多可達 10 年。 您可以根據下列一或多項準則,建立用來保留稽核記錄的原則:

  • 發生已稽核活動的 Microsoft 365 服務。
  • 特定已稽核活動。
  • 執行已稽核活動的使用者。

重要事項

稽核 (標準) 的預設保留期限已從 90 天變更為 180 天。 稽核 (2023 年 10 月 17 日之前產生的標準) 記錄會保留 90 天。 稽核 (2023 年 10 月 17 日或之後產生的標準) 記錄會遵循 180 天的新預設保留期。

您也可以指定保留符合原則的稽核記錄的時間長度和優先順序層級,讓特定原則優先於其他原則。 另請注意,如果您需要保留 Exchange、SharePoint 或 Azure Active Directory 稽核記錄少於一年 (或 10 年,則任何自定義稽核記錄保留原則的優先順序高於預設稽核保留原則,) 貴組織中的某些或所有使用者。 如需詳細資訊,請參閱管理稽核記錄保留原則

重要事項

數據的稽核專案存留期會在數據新增至稽核管線時決定,並以授權預設值或適用的保留原則為基礎。 對授權或適用保留原則所做的任何變更,會在更新后變更稽核數據的到期時間。 這些變更不會變更任何先前認可的專案。

稽 (進階) 活動屬性

稽核 (進階版) 經由提供對重要事件的存取 (例如何時存取郵件項目、何時回覆和轉寄郵件項目, 以及使用者何時在 Exchange Online 和 SharePoint Online 中進行搜尋和搜尋哪些內容),來幫助組織進行鑑定及合規性調查。 這些事件可協助您調查可能的外洩, 並判斷危害的範圍。 除了 Exchange 和 SharePoint 的關鍵事件之外, 其他 Microsoft 365 服務中的事件也被視為關鍵事件, 並且必須指派使用者 適當的稽核 (進階版) 授權。 用戶必須獲指派稽核 (進階) 授權,以便在使用者執行這些事件時產生稽核記錄。

這些活動需要將 適當的稽核 (Premium) 授權指派給使用者。 必須將稽核 (Premium) 授權指派給使用者,以便在使用者執行這些活動和屬性時產生稽核記錄。

稽核 (進階) 提供下列活動屬性的存取權:

Exchange Online

活動 屬性
MailItemsAccessed SensitivityLabel

Microsoft Teams

活動 屬性
ChatCreated AppAccessContext
ChatRetrieved AppAccessContext
ChatUpdated AppAccessContext
MeetingParticipantDetail IsJoinedFromLobby
ArtifactShared
MessageCreatedNotification AppAccessContext
MessageDeletedNotification AppAccessContext
MessageHostedContentsListed AppAccessContext
MessageHostedContentRead AppAccessContext
MessagesListed AppAccessContext
MessageRead AppAccessContext
MessageSent AppAccessContext
ParticipatingDomainInformation
ParticipantInfo
MessageUpdated ParticipantInfo
AppAccessContext
MessageUpdatedNotification AppAccessContext
SubscribedToMessages AppAccessContext

Office 365 管理活動 API 的高頻寬存取權

透過 Office 365 管理活動 API 存取稽核記錄的組織,其節流限制會處於發行者層級。 這表示,針對代表多個客戶提取資料的發行者,此限制會由所有客戶所共用。

使用 Audit (Premium) ,這已從發行者層級限制變更為租用戶層級限制。 結果是每個組織都會取得自己的完整配置頻寬配額,以存取其稽核數據。 帶寬不是靜態的預先定義限制,而是根據一些因素組合來建立模型,包括組織中的基座數目,以及 E5/A5/G5 組織取得比非 E5/A5/G5 組織更多的頻寬。

所有組織一開始都會配置每分鐘 2,000 個要求的基準。 此限制會根據組織的基座計數和授權訂用帳戶動態增加。 E5/A5/G5 組織取得的頻寬大約是非 E5/A5/G5 組織的兩倍。 保護服務健康情況的最大頻寬有一個上限。

如需詳細資訊,請參閱 Office 365 管理活動 API 參考中的 API節流一節。

授權需求

開始之前,請檢閱稽核 (標準) 和稽核 (進階) 的 用帳戶需求。

訓練

訓練安全性作業小組、IT 管理員和合規性調查人員小組稽核 (基本版) 和稽核 (進階版) 的基礎内容,可協助貴組織更快開始使用稽核來進行調查。 Microsoft Purview 提供以下資源以協助組織中的這些使用者開始使用稽核:描述 Microsoft Purview 中的電子文件探索及稽核功能