Поделиться через

Сведения о решениях аудита в Microsoft Purview

Решения для аудита Microsoft Purview — это интегрированное решение, помогающее организациям эффективно реагировать на события безопасности, судебные расследования, внутренние расследования и соблюдение обязательств. Единый журнал аудита организации фиксирует, записывает и хранит тысячи операций пользователей и администраторов, выполняемых в десятках служб и решений Майкрософт. Специалисты по обеспечению безопасности, ИТ-администраторы, группы внутренних рисков, а также специалисты по соответствию требованиям и юридические следователи в вашей организации могут искать записи аудита для этих событий. Эта возможность обеспечивает видимость действий, выполняемых в организации.

Сравнение основных возможностей

В приведенной ниже таблице сравниваются основные возможности, доступные для Аудита (стандарт) и Аудита (премиум). Аудит (премиум) включает все функции аудита (Standard).

Возможность Аудит (стандарт) Аудит (премиум)
Включено по умолчанию Поддержанный. Поддержанный.
Тысячи событий аудита, доступных для поиска Поддержанный. Поддержанный.
Средство поиска аудита на портале Microsoft Purview Поддержанный. Поддержанный.
Аудит API Graph поиска Поддержанный. Поддержанный.
Командлет Search-UnifiedAuditLog Поддержанный. Поддержанный.
Экспорт записей аудита в CSV-файл Поддержанный. Поддержанный.
Доступ к журналам аудита с помощью API действий управления Office 365 1 Поддержанный. Поддержанный.
180-дневное хранение журнала аудита Поддержанный. Поддержанный.
До 1 года хранения журнала аудита Поддержанный.
10-летний период хранения в журнале аудита 2 Поддерживается
Политики хранения журнала аудита Поддерживается
Интеллектуальная аналитика Поддерживается

Примечание.

1 Аудит (премиум) включает доступ с более высокой пропускной способностью к API действий управления Office 365, что обеспечивает более быстрый доступ к данным аудита.
2 В дополнение к обязательному лицензированию для аудита (premium) (описано в следующем разделе), пользователю должна быть назначена 10-летняя лицензия на хранение журналов аудита для хранения записей аудита в течение 10 лет.

Аудит (стандарт)

Аудит Microsoft Purview (Standard) позволяет регистрировать и искать проверенные действия для поддержки судебно-медицинских, ИТ-исследований, соответствия требованиям и юридических расследований.

  • Включено по умолчанию. Аудит (Standard) включен по умолчанию для всех организаций с соответствующей подпиской. Эта конфигурация фиксирует и делает записи с возможностью поиска для проверенных действий. Необходимо только назначить необходимые разрешения для доступа к средству поиска по журналам аудита (и соответствующему командлету) и убедиться, что у пользователей есть права на доступ к функциям Аудит Microsoft Purview (Премиум).

  • Тысячи событий аудита, доступных для поиска. Вы можете найти широкий спектр проверенных действий, которые происходят в большинстве служб Майкрософт в вашей организации. Список действий, которые можно найти, см. в разделе Действия журнала аудита. Список служб и возможностей, поддерживающих аудит действий, см. в статье Тип записи в журнале аудита.

  • Средство поиска аудита на портале Microsoft Purview. Используйте средство поиска журнала аудита на портале для поиска записей аудита. Вы можете искать определенные действия, действия, выполняемые определенными пользователями, и действия, произошедшие в пределах диапазона дат.

  • Аудит API Graph поиска. Microsoft Graph предлагает единую конечную точку API для доступа к данным из нескольких облачных служб Майкрософт в одном ответе. API Graph аудита поиска позволяет программно получить доступ к интерфейсу поиска аудита через Microsoft Graph.

  • Командлет Search-UnifiedAuditLog. Вы также можете применить командлет Search-UnifiedAuditLog в Exchange Online PowerShell (базовый командлет для средства поиска) для поиска событий аудита или для использования в сценарии. Дополнительные сведения см. в статьях:

  • Экспорт записей аудита в CSV-файл. После запуска средства поиска по журналам аудита на портале Microsoft Purview можно экспортировать записи аудита, возвращенные поиском, в CSV-файл. Этот процесс позволяет использовать Microsoft Excel для сортировки и фильтрации по разным свойствам записей аудита. Кроме того, можно использовать функции преобразования Power Query для Excel для выделения каждого свойства объекта JSON в столбце AuditData в отдельный столбец. Этот процесс позволяет эффективно просматривать и сравнивать аналогичные данные для различных событий. Дополнительные сведения см. в статье Экспорт, настройка и просмотр записей журнала аудита.

  • Доступ к журналам аудита с помощью API действий управления Office 365. Третий метод получения записей аудита и доступа к ним — использование API действий управления Office 365. Этот метод позволяет организациям хранить данные аудита дольше, чем 180 дней по умолчанию, и позволяет им импортировать свои данные аудита в решение SIEM. Дополнительные сведения см. в статье Справочник по API действий управления Office 365.

  • 180-дневное хранение журнала аудита. Когда пользователь или администратор выполняет действие аудита, система создает запись аудита и сохраняет ее в журнале аудита для вашей организации. В разделе Аудит (Standard) система хранит записи в течение 180 дней, что означает, что вы можете искать действия, выполненные за последние шесть месяцев.

Важно!

Срок хранения по умолчанию для аудита (Standard) изменился с 90 дней на 180 дней. Журналы аудита (Standard), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (Standard), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.

Аудит (премиум)

Важно!

Классический поиск прекращен 30 ноября 2023 г. Новый поиск включает в себя усовершенствования, такие как более быстрое время поиска, дополнительные параметры поиска, возможность сохранения поисковых запросов и многое другое.

Аудит (премиум) основан на возможностях аудита (Standard), предоставляя политики хранения журналов аудита, более длительное хранение записей аудита, ценные интеллектуальные аналитические сведения и более высокий доступ к API действий управления Office 365.

  • Политики хранения журнала аудита. Создайте настраиваемые политики хранения журналов аудита, чтобы хранить записи аудита в течение более длительных периодов(до одного года) (и до 10 лет для пользователей с необходимой лицензией надстройки). Создайте политику для хранения записей аудита на основе службы, в которой выполняются проверенные действия, конкретных действий, прошедших аудит, или пользователя, выполняющего аудированные действия.
  • Более длительный период хранения записей аудита. записи аудита идентификатора Microsoft Entra, Exchange, OneDrive и SharePoint по умолчанию хранятся в течение одного года. Записи аудита для всех остальных действий хранятся в течение 180 дней по умолчанию, или вы можете использовать политики хранения журнала аудита для настройки более длительных периодов хранения.
  • Интеллектуальная аналитика аудита (премиум). Записи аудита для интеллектуальной аналитики могут помочь вашей организации проводить судебно-медицинские исследования и исследования соответствия требованиям, обеспечивая видимость таких событий, как доступ к почтовым элементам, ответы и пересылка почтовых элементов, а также время и то, что пользователь искал в Exchange Online и SharePoint Online. Эти интеллектуальные аналитические сведения помогут вам исследовать возможные нарушения и определить область компрометации.
  • Более высокая пропускная способность для API действий управления Office 365. Аудит (премиум) предоставляет организациям большую пропускную способность для доступа к журналам аудита с помощью API действий управления Office 365. Хотя все организации (имеющие аудит (Standard) или аудит (премиум)) изначально получают базовый план в 2000 запросов в минуту, это ограничение динамически увеличивается в зависимости от количества рабочих мест в организации и подписки на лицензирование. Это изменение приводит к тому, что организации с аудитом (премиум) получают примерно в два раза больше пропускной способности, чем организации с аудитом (Standard).

Длительное хранение журналов аудита

Аудит (премиум) сохраняет все записи аудита Exchange, SharePoint и Microsoft Entra в течение одного года. Это хранение происходит с помощью политики хранения журнала аудита по умолчанию, которая сохраняет любую запись аудита, содержащую значение AzureActiveDirectory, Exchange, OneDrive или SharePoint для свойства Workload (которое указывает службу, в которой произошло действие) в течение одного года. Хранение записей аудита в течение более длительных периодов может помочь в проведении судебно-медицинских исследований или расследований соответствия требованиям. Дополнительные сведения см. в разделе "Политика хранения журнала аудита по умолчанию" статьи Управление политиками хранения журнала аудита.

Помимо возможностей аудита (премиум) сроком на один год, мы также выпустили возможность хранения журналов аудита в течение 10 лет. Она помогает поддерживать длительные расследования и реагировать на нормативные, правовые и внутренние обязательства.

Примечание.

Для хранения журналов аудита в течение 10 лет требуется дополнительная лицензия на надстройку для каждого пользователя. После назначения этой лицензии пользователю и установки соответствующей 10-летней политики хранения журнала аудита для этого пользователя журналы аудита, охватываемые этой политикой, начинают храниться в течение 10-летнего периода. Эта политика не имеет обратной силы и не может хранить журналы аудита, созданные до создания 10-летней политики хранения журналов аудита.

Политики хранения журнала аудита

Все записи аудита, создаваемые другими службами и не охваченные политикой хранения журнала аудита по умолчанию, хранятся в течение 180 дней. Вы можете создать настраиваемые политики хранения журналов аудита для хранения других записей аудита в течение более длительных периодов( до 10 лет). Можно создать политику для хранения записей аудита на основе одного или нескольких условий, указанных ниже:

  • Служба Майкрософт, в которой выполняются проверенные действия.

  • Конкретные действия, подлежащие аудиту.

  • Пользователь, выполняющий действие, подлежащее аудиту.

Важно!

Срок хранения по умолчанию для аудита (Standard) изменился с 90 дней на 180 дней. Журналы аудита (Standard), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (Standard), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней. Вы также можете указать, как долго хранить записи аудита, соответствующие политике и уровню приоритета, чтобы определенные политики были приоритетными по сравнению с другими политиками. Любая настраиваемая политика хранения журнала аудита имеет приоритет над политикой хранения аудита по умолчанию, если вам нужно хранить записи аудита Exchange, SharePoint или Azure Active Directory менее года или в течение 10 лет для некоторых или всех пользователей в вашей организации. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.

Важно!

Время существования элемента аудита для данных определяется при добавлении данных конвейером аудита и основано на параметрах лицензирования по умолчанию или применимых политиках хранения. Любые изменения в лицензировании или применимых политиках хранения изменяют срок действия данных аудита после обновления. Эти изменения не влияют на ранее зафиксированные элементы.

Свойства действия аудита (премиум)

Аудит (премиум) помогает организациям проводить судебно-медицинские исследования и исследования соответствия требованиям, предоставляя доступ к важным событиям, например, когда пользователи получают доступ к почтовым элементам, отвечают на почтовые элементы и пересылают их, а также выполняют поиск в Exchange Online и SharePoint Online. Эти события могут помочь исследовать возможные нарушения безопасности и определить масштаб угрозы. Помимо этих событий в Exchange и SharePoint, другие службы Майкрософт включают важные события, требующие назначения пользователям соответствующей лицензии аудита (Premium). Назначьте пользователям лицензию на аудит (премиум), чтобы система создавала журналы аудита при выполнении этих событий.

Для выполнения этих действий требуется назначить пользователям соответствующую лицензию на аудит (Премиум). Назначьте пользователям лицензию аудита (премиум), чтобы система создавала журналы аудита при выполнении этих действий и свойств.

Аудит (премиум) предоставляет доступ к следующим свойствам действия:

Exchange Online.

Действие Property
MailItemsAccessed SensitivityLabel

Microsoft Teams

Действие Property
ChatCreated AppAccessContext
ChatRetrieved AppAccessContext
ChatUpdated AppAccessContext
MeetingParticipantDetail IsJoinedFromLobby
ArtifactShared
MessageCreatedNotification AppAccessContext
MessageDeletedNotification AppAccessContext
MessageHostedContentsListed AppAccessContext
MessageHostedContentRead AppAccessContext
MessagesListed AppAccessContext
MessageRead AppAccessContext
MessageSent AppAccessContext
ParticipatingDomainInformation
ParticipantInfo
MessageUpdated ParticipantInfo
AppAccessContext
MessageUpdatedNotification AppAccessContext
SubscribedToMessages AppAccessContext

Доступ с высокой пропускной способностью к API действий управления Office 365

Организации, которые обращаются к журналам аудита через API действий управления Office 365, столкнулись с ограничениями регулирования на уровне издателя. Это ограничение регулирования означало, что если издатель извлекал данные для нескольких клиентов, все эти клиенты совместно используют одно и то же ограничение.

При использовании аудита (премиум) это ограничение изменилось с ограничения на уровне издателя на ограничение на уровне клиента. Теперь каждая организация получает собственную полностью выделенную квоту пропускной способности для доступа к данным аудита. Пропускная способность не является статическим предопределенным ограничением. Вместо этого он смоделирован по сочетанию факторов, включая количество рабочих мест в организации. Организации E5, A5 и G5 получают большую пропускную способность, чем организации, не являющиеся E5, не A5 и не G5.

Все организации изначально получают базовый план в 2000 запросов в минуту. Это ограничение динамически увеличивается в зависимости от количества рабочих мест в организации и подписки на лицензирование. Организации E5, A5 и G5 получают примерно в два раза большую пропускную способность, чем организации, не являющиеся E5, не A5 и не G5. Ограничение максимальной пропускной способности защищает работоспособность службы.

Дополнительные сведения см. в разделе Регулирование API в справочнике по API действий управления Office 365.

Требования к лицензированию

Прежде чем приступить к работе, ознакомьтесь с требованиями к подписке для аудита (Standard) и аудита (премиум).

Обучение

Обучение вашей команды по обеспечению безопасности, ИТ-администраторов и следователей по соответствию основам аудита (Standard) и аудита (премиум) поможет вашей организации быстрее приступить к работе с аудитом, чтобы помочь в проведении расследований. Microsoft Purview предоставляет следующий ресурс, который поможет этим пользователям в вашей организации приступить к аудиту. Описание возможностей обнаружения электронных данных и аудита Microsoft Purview.