探索 Microsoft Purview 稽核 (進階版)
Microsoft Purview 中的 [稽核功能], 可讓組織深入了解許多不同 Microsoft 365 服務的多種類型的稽核活動。 Microsoft Purview 提供兩種稽核解決方案: 稽核 (標準版) 和稽核 (進階版)。
在前一個單元中,您已瞭解 Microsoft Purview 稽核 (標準版) 可讓組織記錄和搜尋稽核的活動。 它也可讓組織支援其鑒識、IT、合規性和法律調查。
在本單元中,您將瞭解 Microsoft Purview 稽核 (進階版) 是以 Microsoft Purview 稽核 (標準版) 的功能為基礎。 它提供專為進行鑒識和合規性調查的組織所設計的進階功能。 這些功能提供:
- 增加調查所需的稽核記錄保留期。
- 存取有助於判斷入侵範圍的重要事件。
- 較高的頻寬存取,因而更快速地存取 Office 365 管理活動 API。
本單元提供稽核 (進階版) 功能的概觀。
組織訂閱和使用者授權
稽核 (進階版) 可供具有 Office 365 E5/A5/G5 或 Microsoft 365 企業版 E5/A5/G5 訂閱的組織使用。 對於具有 E5/A5/G5 訂閱的組織,獲指派適當 E5/A5/G5 授權的合格客戶和使用者將可存取稽核 (進階版) 事件。 只有在指派這些授權後, 才會為具有 E5/A5/G5 授權的使用者產生「稽核 (進階版)」事件。
若要使用使用者層級的稽核 (進階版) 功能,使用者必須獲派 E5/A5/G5 授權。 部分功能會檢查是否有適當授權,才會開放功能供使用者使用。 例如,如果您正嘗試保留使用者的稽核記錄,但該使用者在 90 天內未獲派適當授權,則系統將會傳回錯誤訊息。
長期保留稽核記錄
當使用者或系統管理員執行稽核活動,稽核記錄會隨即產生,並儲存在組織的稽核記錄中。 在Microsoft Purview 稽核 (標準版) 中,稽核記錄會保留 90 天。 相較之下,Audit (Premium) 會保留所有 Exchange、SharePoint 和 Microsoft Entra 稽核記錄一年。
稽核 (進階版) 藉由實作預設的稽核記錄保留原則,提供額外的保留時間。 保留稽核記錄的時間越長,可協助您進行深入的鑑定或合規性調查。 如需詳細資訊,請參閱管理稽核記錄保留原則中的「預設稽核記錄保留原則」章節。
注意事項
除了稽核 (進階版) 的一年保留功能之外, Microsoft 365 可選擇性地將稽核記錄保留 10 年。 將稽核記錄保留 10 年可協助支援長期的調查,並回應法規、法律和內部責任。 保留 10 年的稽核記錄會需要額外的每位使用者附加元件授權。 指派此授權給使用者並針對該使用者設定適當的 10 年稽核記錄保留原則之後,該原則涵蓋的稽核記錄就會開始保留 10 年。 此原則不具有回溯性。 因此,無法保留建立 10 年稽核記錄保留原則之前產生的稽核記錄。
稽核記錄保留原則
所有在其他服務中產生、未在預設稽核記錄保留原則涵蓋範圍的所有稽核記錄,將會保留 90 天。 不過,您現在可以建立自訂的稽核記錄保留原則,以保留其他稽核記錄最多達 10 年。 您可以根據下列一或多項準則,建立用來保留稽核記錄的原則:
- 發生已稽核活動的 Microsoft 365 服務。
- 特定已稽核活動。
- 執行已稽核活動的使用者。
您也可以指定要保留符合原則和優先順序等級的稽核記錄多久。 此設計可讓特定原則優先于其他原則。
任何自定義稽核記錄保留原則的優先順序高於預設稽核保留原則,以防您必須保留 Exchange、SharePoint 或 Microsoft Entra 稽核記錄少於一年 (或最多 10 年) 貴組織中的部分或所有使用者。
注意
在此功能於 2020 年最後一季發行至正式版本之後,您建立的 10 年稽核記錄保留原則所涵蓋的任何稽核資料,都將保留 10 年。 此設計包括在 2021 年 3 月發行購買所需的附加元件授權之前所建立 10 年稽核記錄保留原則。 不過,因為現在可以使用 10 年稽核記錄保留附加元件授權,您必須為 10 年稽核記錄保留原則所涵蓋之稽核資料的所有使用者購買並指派這些附加元件授權。
稽核 (進階版) 事件
稽核 (進階版) 可透過提供重要事件的存取權,協助組織進行鑒識及合規性調查,例如:
- 存取郵件項目時。
- 回覆並轉寄郵件項目時。
- 使用者在 Exchange Online 和 SharePoint Online 中搜尋的時機和內容。
這些事件可協助您調查可能的外洩, 並判斷危害的範圍。 除了 Exchange 和 SharePoint 中的這些事件之外,其他 Microsoft 365 服務中也有一些事件也被視為重要事件。 這些事件也需要將 適當的稽核 (進階版) 授權 指派給使用者。
重要事項
使用者必須被指派「稽核 (進階版) 授權」, 才能在使用者執行這些事件時產生稽核記錄。
稽核 (進階版) 提供下列新事件,每個事件都會在下列各節中介紹:
- MailItemsAccessed 事件
- 傳送事件
- SearchQueryInitiatedExchange 事件
- SearchQueryInitiatedSharePoint 事件
- Microsoft 365 的其他稽核 (進階版) 事件
注意事項
這些事件在 Office 365 管理活動 API 的稽核 (進階版) 中使用。 只要為具有適當授權的使用者產生稽核記錄,您就可以透過 Office 365 管理活動 API 存取這些記錄。
MailItemsAccessed 事件
MailItemsAccessed 事件為信箱稽核動作。 當郵件通訊協定和郵件用戶端存取郵件資料時,即會觸發。 此事件可協助調查人員識別資料外洩, 並判斷可能已遭入侵的郵件範圍。 如果攻擊者取得電子郵件訊息的存取權,MailItemsAccessed 動作將會觸發,即使有未讀取明確的訊號訊息也一樣。 換句話說,如繫結或同步處理等存取類型會記錄在稽核記錄中。
MailItemsAccessed 事件會取代 Exchange Online 中信箱稽核記錄的 MessageBind。 它提供下列改善:
- MessageBind 只能針對 AuditAdmin 使用者登入類型進行設定。 它不適用於委派或擁有者動作。
- 改善。 MailItemsAccessed 適用於所有登入類型。
- MessageBind 僅涵蓋透過郵件用戶端的存取。 並不適用同步處理活動。
- 改善。 MailItemsAccessed 事件會由繫結和同步處理存取類型觸發。
- 當存取相同的電子郵件訊息時,MessageBind 動作會觸發多個稽核記錄的建立。 此設計會導致稽核「雜訊」。
- 改善。 MailItemsAccessed 事件會彙總在較少的稽核記錄中。
若要搜尋 MailItemsAccessed 稽核記錄,組織可以在 Microsoft Purview 合規性入口網站的稽核記錄搜尋工具中,在 [Exchange 信箱活動] 下拉式清單中搜尋 [已存取的信箱項目] 活動。
![[搜尋] 視窗的螢幕擷取畫面,其中已選取 [活動] 設定的 [存取的信箱項目] 選項。](../../wwl/manage-microsoft-purview-audit-premium/media/advanced-audit-mail-items-accessed-3ce3f22d.png)
您也可以在 Exchange Online PowerShell 中執行 Search-UnifiedAuditLog -Operations MailItemsAccessed 或 Search-MailboxAuditLog -Operations MailItemsAccessed 命令。
傳送事件
傳送事件是另一個信箱稽核動作。 當使用者完成下列其中一個動作時,就會觸發此動作:
- 傳送電子郵件訊息。
- 回覆電子郵件訊息。
- 轉寄電子郵件訊息。
調查人員可以使用 Send 事件識別從遭入侵帳戶發送的電子郵件。 傳送事件的稽核記錄包含訊息的相關資訊,例如:
- 訊息傳送時。
- InternetMessage 識別碼。
- 主旨行。
- 訊息是否包含附件。
這項稽核資訊可協助調查人員識別從遭入侵帳戶或攻擊者傳送的電子郵件訊息相關資訊。 此外,調查人員可以使用 Microsoft 365 或電子文件探索工具來搜尋郵件 (使用主旨列或郵件識別碼)。 這麼做,他們便可以識別郵件的收件者,以及所傳送的郵件的實際內容。
若要搜尋 Send 稽核記錄,您可以在 Microsoft Purview 合規性入口網站的稽核記錄搜尋工具中,在 [Exchange 信箱活動] 下拉式清單中搜尋 [傳送電子郵件] 活動。
![[搜尋] 視窗的螢幕擷取畫面,其中已選取 [活動] 設定的 [傳送郵件] 選項。](../../wwl/manage-microsoft-purview-audit-premium/media/advanced-audit-sent-message-79c18307.png)
您也可以在 Exchange Online PowerShell 中執行 Search-UnifiedAuditLog -Operations Send 或 Search-MailboxAuditLog -Operations Send 命令。
SearchQueryInitiatedExchange 事件
當某人使用 Outlook 在信箱中搜尋項目時,就會觸發 SearchQueryInitiatedExchange 事件。 在下列 Outlook 環境中執行搜尋時,會觸發事件:
- Outlook (桌面用戶端)
- Outlook 網頁版 (OWA)
- iOS 版 Outlook
- Android 版 Outlook
- Windows 10 版郵件應用程式
調查人員可以使用 SearchQueryInitiatedExchange 事件,來判斷 (可能有遭入侵帳號的) 攻擊者是否已查看或嘗試存取信箱中的機密資訊。 SearchQueryInitiatedExchange 事件的稽核記錄包含實際的搜尋查詢文字。 稽核記錄也會指出搜尋執行時所用的 Outlook 環境。 透過查看攻擊者可能執行的搜尋查詢,調查人員可以更能瞭解搜尋的電子郵件資料意圖。
若要搜尋 SearchQueryInitiatedExchange 稽核記錄,您可以在 Microsoft Purview 合規性入口網站的稽核記錄搜尋工具中,在 [搜尋活動] 下拉式清單中搜尋 [執行電子郵件搜尋] 活動。
![[搜尋] 視窗的螢幕擷取畫面,其中已選取 [活動] 設定的 [已執行電子郵件搜尋] 選項。](../../wwl/manage-microsoft-purview-audit-premium/media/advanced-audit-search-exchange-fea27fe7.png)
您也可以在 Exchange Online PowerShell 中執行 Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange。
您必須啟用要記錄的 SearchQueryInitiatedExchange,才能在稽核記錄中搜尋此事件。
SearchQueryInitiatedSharePoint 事件
SearchQueryInitiatedSharePoint 事件類似于搜尋信箱項目。 當人員在 SharePoint 中搜尋項目時,就會觸發此動作。 在下列 SharePoint 網站類型的根頁面或預設頁面上執行搜尋時,會觸發事件:
- 主網站
- 通訊網站
- 中樞網站
- 與 Microsoft Teams 相關聯的網站
調查人員可以使用 SearchQueryInitiatedSharePoint 事件來判斷攻擊者是否嘗試在 SharePoint 中尋找 (且可能存取) 敏感性資訊。 SearchQueryInitiatedSharePoint 事件的稽核記錄包含實際的搜尋查詢文字。 稽核記錄也會指出已搜尋的 SharePoint 網站類型。 透過查看攻擊者可能執行的搜尋查詢,調查人員可以更瞭解攻擊者欲搜尋的檔案資料的意圖和範圍。
若要搜尋 SearchQueryInitiatedSharePoint 稽核記錄,您可以在 Microsoft Purview 合規性入口網站的稽核記錄搜尋工具中,在 [搜尋活動] 下拉式清單中搜尋 [執行 SharePoint 搜尋] 活動。
![[搜尋] 視窗的螢幕擷取畫面,其中已選取 [活動] 設定的 [已執行 SharePoint 搜尋] 選項。](../../wwl/manage-microsoft-purview-audit-premium/media/advanced-audit-search-sharepoint-86a40402.png)
您也可以在 Exchange Online PowerShell 中執行 Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint。
注意事項
您必須啟用要記錄的 SearchQueryInitiatedSharePoint,才能在稽核記錄中搜尋此事件。
Microsoft 365 的其他稽核 (進階版) 事件
除了 Exchange Online 和 SharePoint Online 的事件之外, 其他 Microsoft 365 服務中還有一些事件, 這些事件會在為使用者指派適當的 [稽核 (進階版)] 授權時記錄。 下列 Microsoft 365 服務提供稽核 (進階版) 事件。 按一下對應的連結可前往識別和描述這些事件的文章。
Office 365 管理活動 API 的高頻寬存取權
先前透過 Office 365 管理活動 API 存取稽核記錄的組織,其節流限制會處於發行者層級。 因此,針對代表多個客戶提取資料的發行者,限制會由所有客戶所共用。
隨著稽核 (進階版) 的推出,Microsoft 365 已將發行者層級限制移至租用戶層級限制。 結果是每個組織都會獲得自己完整配置的頻寬配額,以存取其稽核資料。 頻寬不是靜態的預先定義限制。 而是根據因素的組合來建立模型。 這些因素包括組織中的基座數,以及 E5/A5/G5 組織會取得比非 E5/A5/G5 組織更多的頻寬。
所有組織一開始都會配置每分鐘 2,000 個要求的基準。 視組織的基座數和授權訂閱而定,此限制將會動態增加。 E5/A5/G5 組織可獲得的頻寬大約是非 E5/A5/G5 組織的兩倍。 最大頻寬也會有上限,以保護服務的健康情況。
其他閲讀資源。 如需詳細資訊,請參閱 Office 365 管理活動 API 參考中的「API 節流」一節。
知識檢查
為以下每個問題選擇最佳的回應。 然後選取「檢查您的答案」。