обзор Аудит Microsoft Purview

Безопасность и соответствие данным критически важны в современной цифровой среде. Аудит Microsoft Purview предлагает средства для регистрации действий пользователей и администраторов, помогая организациям защищать свои данные и соответствовать требованиям.

Группа ит-соответствия в нашей сети медицинских учреждений в настоящее время оценивает эти средства для повышения безопасности данных пациентов в нескольких местах, вызванных недавними опасениями по поводу шаблонов доступа, которые могут указывать на потенциальные нарушения.

Решения аудита Microsoft Purview

Решения аудита Microsoft Purview позволяют организациям эффективно обрабатывать события безопасности, судебно-медицинские расследования, внутренние расследования и обязательства по соответствию требованиям. Они интегрируют множество служб и решений Microsoft 365 и записывают тысячи действий пользователей и администраторов в едином журнале аудита вашей организации. Операции безопасности, ИТ-администраторы, группы внутренних рисков и следователи и юридические следователи в вашей организации могут искать эти записи аудита, чтобы узнать, что произошло в вашей организации Microsoft 365.

Здесь вы узнаете, как:

• Определите различия между аудитом (стандартная версия) и аудитом (премиум).
• Узнайте, как средства аудита повышают безопасность организации и соответствие требованиям.
• Изучите политики хранения журналов аудита и их роль в соответствии с требованиями соответствия требованиям и нормативным требованиям.

Сравнение основных возможностей

Используйте таблицу для сравнения ключевых возможностей, доступных в audit (Standard) и Audit (Premium). Все функции Аудита (стандарт) включены в Аудит (премиум).

Аудит (стандартный) в Microsoft Purview

Аудит (стандартный) — это функция в Microsoft Purview, которая помогает выполнять журнал и поиск различных действий, выполняемых пользователями и администраторами в службах Microsoft 365. Эта функция помогает организациям проводить судебно-медицинские, ИТ-исследования и юридические расследования более эффективно.

• Включен по умолчанию: аудит (стандартный) включен по умолчанию для организаций с соответствующими подписками, гарантируя, что для ведения журнала действий не требуется ручная настройка. Единственным требованием настройки является назначение необходимых разрешений для доступа пользователей к средству поиска аудита.
• Тысячи событий аудита, доступных для поиска: вы можете искать широкий спектр действий пользователей и администраторов, предоставляя сведения о том, как используются службы Microsoft 365.
• Возможность поиска. Журналы аудита доступны и доступны для поиска в Портал соответствия требованиям Microsoft Purview, поддерживая поиск по действиям, пользователям или временным интервалам. Командлет Search-UnifiedAuditLog в Exchange Online PowerShell позволяет выполнять расширенные поиски и сценарии.
• Экспорт записей аудита в CSV-файл: результаты поиска можно экспортировать в формат CSV для анализа в Microsoft Excel. Эта функция позволяет выполнять проверку, сортировку и сравнение данных аудита, что упрощает управление большими объемами данных аудита.
• Доступ к API: API действий управления Office 365 предоставляет другой способ доступа к журналам аудита, поддерживая более длительный срок хранения или импорт данных аудита в решение SIEM для более глубокого анализа безопасности.
• 180-дневное хранение журналов аудита: журналы аудита хранятся в течение 180 дней по умолчанию, предлагая шестимесячное окно проверки для более тщательного расследования.

Аудит (премиум) в Microsoft Purview

Аудит (Премиум) улучшает функциональные возможности аудита (стандартный), предлагая расширенное управление журналами аудита и аналитические аналитические сведения.

• Политики хранения журналов аудита: аудит (Премиум) позволяет настраиваемым политикам хранения журналов аудита хранить записи аудита до одного года или 10 лет для пользователей с обязательной лицензией на надстройку.
• Более длительное хранение записей аудита: идентификатор Microsoft Entra, Exchange, OneDrive и записи аудита SharePoint хранятся в течение одного года по умолчанию. Записи аудита для всех других действий хранятся в течение 180 дней по умолчанию или можно использовать политики хранения журналов аудита для настройки более длительных периодов хранения.
• Интеллектуальная аналитика аудита (Премиум): записи аудита для интеллектуальной аналитики обеспечивают подробный обзор конкретных событий. Например, эти события включают такие действия, как доступ к почтовому элементу и поведение поиска пользователей в Exchange Online и SharePoint Online. Эта возможность обеспечивает более эффективное судебно-судебное расследование и расследование соответствия требованиям.
• Более высокая пропускная способность для API действий управления Office 365: аудит (премиум) предоставляет организациям примерно два раза распределение пропускной способности API по сравнению с аудитом (стандартный). Эта повышенная пропускная способность повышает доступ к журналам аудита через API действий управления Office 365.

Длительное хранение журналов аудита

• Срок хранения по умолчанию: аудит (премиум) сохраняет записи аудита Exchange, SharePoint и Идентификатор Microsoft Entra в течение одного года по умолчанию. Эта политика по умолчанию помогает расследованиям и расследованиям соответствия требованиям, убедившись, что записи аудита хранятся в течение достаточного периода.
• Расширенный 10-летний вариант хранения: для организаций, которые должны хранить журналы аудита в течение длительного периода времени, аудит (Премиум) предоставляет возможность увеличить срок хранения до 10 лет. Это расширенное хранение подходит для глубоких, долгосрочных исследований и соблюдения строгих нормативных, юридических и внутренних требований. Для этого расширенного хранения требуется лицензия на надстройку для каждого пользователя. Он применяется с точки реализации политики вперед и не применяется ретроактивно к ранее созданным журналам.

Политики хранения журнала аудита

С помощью аудита (Премиум) можно настроить политики хранения журналов аудита за пределами стандартных и стандартных параметров. Эти политики можно настроить на основе следующих способов:

• Связанная служба Microsoft 365.
• Характер проверяемых действий.
• Пользователи, выполняющие эти действия.

Журналы, не охватываемые политикой одного года по умолчанию, хранятся в течение 180 дней, но с настраиваемыми политиками можно указать срок хранения до 1 года (или 10 лет с лицензией на надстройку) на основе потребностей вашей организации.

В audit (Premium) вы можете назначить приоритеты пользовательским политикам хранения, гарантируя, что наиболее важные из них применяются сначала. Кроме того, при внесении изменений в эти политики или условия лицензирования эти изменения влияют только на данные аудита. Данные, которые уже регистрировались перед изменениями, сохраняют исходные параметры срока действия, обеспечивая согласованность для исторических записей.

Действия аудита (Премиум)

Аудит (Премиум) предоставляет расширенные средства для подробных исследований в средах Microsoft 365. Он записывает ключевые действия, такие как доступ к почтовому элементу и действия пользователей в Exchange Online и Microsoft Teams. Это ведение журнала действий является важным для анализа возможных нарушений безопасности и обеспечения соответствия требованиям.

В Exchange Online системные журналы при доступе к элементам почты, уже помеченным меткой конфиденциальности.

В Microsoft Teams системные журналы регистрируют различные аспекты взаимодействия, такие как:

• Взаимодействие чата: создание, извлечение и обновление сообщений чата, а также их контекстные свойства.
• Сведения о собрании: сведения о участниках собрания, в том числе о том, присоединились ли они из лобби и какие артефакты были переданы во время сеанса.
• Динамические сообщения: создание, удаление и изменение сообщений, предоставление следа за обработкой информации в организации.

Проверка знаний

Выберите оптимальный ответ на приведенный ниже вопрос.