探索 Microsoft Purview 稽核解決方案
Microsoft Purview 稽核解決方案提供了整合式解決方案,可協助組織有效地回應:
- 安全性事件
- 鑒識調查
- 內部調查
- 合規性義務
在數十個 Microsoft 365 服務和解決方案中執行的數千個使用者和管理作業會擷取、記錄並保留在組織的整合稽核記錄中。 這些事件的稽核記錄可供組織中的安全性操作員、IT 管理員、內部風險團隊以及合規性和法律調查人員進行搜尋。 此功能提供了對跨 Microsoft 365 組織執行的活動的可見度。
Microsoft Purview 稽核解決方案
Microsoft Purview 提供兩種稽核解決方案: 稽核 (標準版) 和稽核 (進階版)。
稽核 (標準版)
Microsoft Purview 稽核 (標準版) 提供組織記錄和搜尋已稽核活動的功能。 也讓組織能夠支援其鑒識、IT、合規性和法律調查。
預設啟用。 根據預設,所有具有相應訂閱的組織都會啟用稽核 (基本版)。 這意味著將會擷取已稽核活動的記錄,而且可以搜尋。 唯一需要的設定是指派存取稽核記錄搜尋工具 (和相應的 cmdlet) 所需的授權,並確定為使用者指派了 Microsoft Purview 稽核 (進階版) 功能的正確授權。
數千個可搜尋的稽核事件。 組織可以搜尋發生在組織中大多數 Microsoft 365 服務中、範圍廣泛的已稽核活動。 有關可以搜尋的活動之部分清單,請參閱 已稽核活動。 有關支援已稽核活動的服務和功能的清單,請參閱稽核記錄的記錄類型。
Microsoft Purview 合規性入口網站中的稽核記錄搜尋工具。 組織可以使用 Microsoft Purview 合規性入口網站中的稽核記錄搜尋工具來搜尋稽核記錄。 您可以搜尋:
- 特定活動
- 特定使用者執行的活動
- 在特定日期範圍內發生的活動
Search-UnifiedAuditLog cmdlet。 組織還可以在 Exchange Online PowerShell (搜尋工具的基礎 cmdlet) 中使用 Search-UnifiedAuditLog cmdlet 來搜尋稽核事件或在指令碼中使用。 如需詳細資訊,請參閱:
將稽核記錄匯出至 CSV 檔案。 組織在 Microsoft Purview 合規性入口網站執行稽核記錄搜尋工具後,可以將搜尋返回的稽核記錄匯出至 CSV 檔案。 如此一來,Microsoft Excel 就可以排序和篩選不同的稽核記錄屬性。 您還可以使用 Excel Power Query 轉換功能將 AuditData JSON 物件中的每個屬性分割至各自的資料行。 這可讓您有效地檢視和比較不同事件的類似資料。
透過 Office 365 管理活動 API 存取稽核記錄。 存取和擷取稽核記錄的第三種方法是使用 Office 365 管理活動 API。 此 API 可讓組織保留超過預設 180 天的稽核數據期間。 也可以讓他們將其稽核資料匯入 SIEM 解決方案。 如需詳細資訊,請參閱 Office 365 管理活動 API 參考。
180 天稽核記錄保留期。 當使用者或系統管理員執行稽核的活動時,稽核記錄會隨即產生,並儲存在您組織的稽核記錄中。 在 Microsoft Purview Audit (Standard) 中,記錄會保留 180 天。 因此,組織可以搜尋過去三個月內發生的活動。
稽核 (進階版)
稽核 (進階版) 提升了基本稽核功能,提供稽核記錄保留原則、更長的稽核記錄保留期、高價值重要事件以及對 Office 365 管理活動 API 的更高頻寬存取。
稽核記錄保留原則。 稽核 (進階版) 可讓組織建立自訂的稽核記錄保留原則,將稽核記錄保留多達一年 (對於具有所需附加元件授權的使用者,最多保留 10 年)。 組織可以建立記錄保留原則,以根據下列原則保留稽核記錄:
- 發生稽核活動的服務。
- 特定已稽核活動。
- 執行稽核活動的使用者。
稽核記錄的較長保留期。 Exchange、SharePoint 和 Microsoft Entra 稽核記錄預設會保留一年。 所有其他活動的稽核記錄預設會保留 180 天。 透過稽核 (進階版),組織可以使用稽核記錄保留原則來設定較長的保留期間。
高價值、重要的稽核 (進階版) 事件。 重要事件的稽核記錄可協助組織進行鑒識和合規性調查。 可藉由提供事件的可見度以協助調查,例如:
- 郵件項目遭存取時。
- 回覆及轉寄郵件項目時。
- 使用者在 Exchange Online 和 SharePoint Online 中搜尋的時間和內容。
這些重要事件可協助組織調查可能的資訊外洩,並判斷遭入侵的範圍。
Office 365 管理活動 API 的更高頻寬。 稽核 (進階版) 透過 Office 365 管理活動 API 為組織提供了更多的頻寬以存取稽核記錄。 所有具有稽核 (標準版) 或稽核 (進階版) 的組織,一開始都會配置每分鐘 2,000 個要求的基準。 不過,此限制會根據組織的基座數量及授權訂用帳戶而動態增加。 因此,使用稽核 (進階版) 的組織取得的頻寬是使用稽核 (標準版) 組織的兩倍。
在稍後的單元中會更詳細地探討 Microsoft Purview 稽核 (進階版)。
主要功能比較
下表比較稽核 (標準版) 和稽核 (進階版) 中提供的主要功能。 所有稽核 (標準版) 功能都包含在稽核 (進階版) 中。
| 功能 | 稽核 (標準版) | 稽核 (進階版) |
|---|---|---|
| 預設啟用 | X | X |
| 數千個可搜尋的稽核事件 | X | X |
| Microsoft Purview 合規性入口網站中的稽核搜尋工具。 | X | X |
| Search-UnifiedAuditLog cmdlet | X | X |
| 將稽核記錄匯出至 CSV 檔案 | X | X |
| 透過 Office 365 管理活動 API 存取稽核記錄 (1) | X | X |
| 180 天稽核記錄保留期 | X | X |
| 1 年稽核記錄保留 | X | |
| 10 年稽核記錄保留 (2) | X | |
| 稽核記錄保留原則 | X | |
| 高值,重要事件 | X |
註腳:
1 稽核 (進階版) 包括對 Office 365 管理活動 API 的更高頻寬存取,提供對稽核資料更快速的存取。
2 除了稽核 (進階版) 所需的授權之外,使用者還必須受指派 10 年稽核記錄保留附加元件授權,才能將其稽核記錄保留 10 年。
知識檢查
為以下每個問題選擇最佳的回應。 然後選取「檢查您的答案」。