Настройка Аудит Microsoft Purview и управление ими

  • 10 мин

Аудит Microsoft Purview (стандартный) и аудит (Премиум) предоставляют возможности для поиска записей аудита действий пользователей и администраторов в различных службах Microsoft 365. Хотя аудит (стандартный) включен по умолчанию, предлагая немедленный доступ к журналам аудита, полная область функций аудита (Премиум) требует конкретных конфигураций для эффективного управления возможностями аудита организации.

После нашей оценки средств Аудит Microsoft Purview в нашей сети медицинских учреждений ИТ-соответствие теперь задача настроить аудит (стандартный) и аудит (Премиум). Их цель заключается в том, чтобы обеспечить точный журнал всех изменений и доступа к данным пациентов в соответствии с правилами защиты данных о работоспособности.

Здесь вы узнаете:

  • Проверьте и настройте необходимые лицензии и разрешения для аудита (стандартный) и аудита (Премиум).
  • Общие сведения о ролях пользователей и управлении ими для доступа к журналам аудита и управления ими.
  • Настройте расширенные функции аудита в Audit (Premium) для получения подробных сведений.
  • Перейдите к процедурам, чтобы включить или отключить аудит и понять последствия этих параметров.

Настройка аудита в Microsoft Purview

Шаг 1. Проверка подписки организации и лицензирования пользователей

Перед использованием функций аудита убедитесь, что у вашей организации есть необходимые подписки и лицензии.

Аудит (стандартный), необходимый для базового аудита, включается в:

  • Microsoft 365: E3, E5, F1, F3

  • Office 365: E1, E3, E5, F3

    Это позволяет организациям удовлетворять базовые требования к соответствию и аудиту без необходимости сложного лицензирования.

Аудит (Премиум), подходящий для организаций с строгими требованиями соответствия требованиям, требует подписок на более высокий уровень планов, которые включают широкие средства безопасности и соответствия требованиям:

  • Microsoft 365: E5, E5 соответствие, соответствие F5, безопасность F5 и соответствие требованиям

  • Office 365: E5

    Эти планы поддерживают расширенные функции аудита, такие как расширенное хранение данных и подробные аналитические сведения, важные для управления соответствием требованиям и судебно-медицинских расследований.

Шаг 2. Назначьте разрешения на поиск в журнале аудита.

Важно предоставить соответствующие разрешения, чтобы разрешить авторизованным сотрудникам, таким как администраторы и группы расследований, просматривать журналы аудита и управлять ими.

Назначение ролей журналов аудита только для просмотра или журналов аудита в Портал соответствия требованиям Microsoft Purview администраторам и членам группы исследования. Эти роли позволяют выполнять поиск или экспорт журнала аудита и обычно включаются в группы ролей "Читатель аудита" и "Диспетчер аудита".

  • Диспетчер аудита: предоставляет разрешения на поиск, экспорт и управление параметрами аудита, включая возможность включения или отключения ведения журнала.
  • Средство чтения аудита: позволяет выполнять поиск и экспорт журнала аудита без возможности изменения параметров аудита.

Примечание.

Шаги 3-5 применимы только к аудиту (премиум).

Шаг 3. Настройка аудита (Премиум) для пользователей

Аудит (Премиум) предлагает расширенные функции, такие как ведение журнала интеллектуальной аналитики, которая требует дополнительной настройки, например назначение лицензий E5 и включение конкретных планов обслуживания.

  1. Перейдите к Центр администрирования Microsoft 365 и выберите "Активные пользователи>" и выберите пользователя.
  2. На странице свойств пользователя выберите "Лицензии и приложения". Убедитесь, что у пользователя есть лицензия E5 или соответствующая лицензия надстройки, указанная в разделе "Лицензии".
  3. Разверните раздел "Приложения" и установите флажок "Расширенный аудит Microsoft 365". Если флажок не установлен, выберите его, а затем нажмите кнопку "Сохранить изменения".

Ведение журнала аудита для MailItemsAccessed и отправки активируется в течение 24 часов. Дополнительные шаги необходимы для запуска ведения журнала других событий аудита (Премиум), таких как SearchQueryInitiatedExchange и SearchQueryInitiatedSharePoint.

Шаг 4. Включение событий аудита (Премиум)

Вы можете записывать поиск пользователей в Exchange Online и SharePoint Online, включив определенные события аудита.

Включите события SearchQueryInitiatedExchange и SearchQueryInitiatedSharePoint, выполнив следующую команду PowerShell:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

Шаг 5. Настройка политик хранения аудита в audit (Premium)

Вы можете настроить аудит (Премиум) для создания политик хранения журналов аудита, адаптированных к потребностям вашей организации.

Шаг 6. Поиск событий аудита

С помощью аудита, настроенного для вашей организации, вы можете выполнить поиск в журнале аудита в Портал соответствия требованиям Microsoft Purview.

Включение или отключение аудита

Ведение журнала аудита в Microsoft 365 активируется по умолчанию, которое записывает действия пользователя и администратора и сохраняет их в течение 180 дней. При настройке новой организации Microsoft 365 важно убедиться, что аудит включен должным образом. Хранение записей аудита зависит от политик вашей организации и лицензий, которые у вас есть.

Чтобы убедиться, что аудит включен для вашей организации, можно выполнить следующую команду в Exchange Online PowerShell:

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Если аудит не включен, включение аудита необходимо для записи и хранения записей аудита.

Включение аудита

Чтобы включить аудит:

  1. Перейдите к Портал соответствия требованиям Microsoft Purview и выберите "Аудит".
  2. Если аудит не включен, появится баннер с запросом на запись пользователя и действия администратора. Выберите этот баннер, чтобы включить аудит. Для запуска действий записи может потребоваться 60 минут.

Вы также можете включить аудит, выполнив PowerShell:

  1. Подключение и проверка подлинности в Exchange Online PowerShell:

    Connect-ExchangeOnline

  2. Выполните следующую команду PowerShell, чтобы включить аудит:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Отключение аудита

Чтобы отключить аудит, необходимо использовать Exchange Online PowerShell.

  1. Подключение и проверка подлинности в Exchange Online PowerShell:

    Connect-ExchangeOnline

  2. Выполните следующую команду PowerShell, чтобы отключить аудит:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

Проверка знаний

Выберите оптимальный ответ на приведенный ниже вопрос.