Настройка хранения аудита с помощью аудита (Премиум)

  • 10 мин

Аудит Microsoft Purview (Премиум) повышает возможность управления журналами аудита, расширяя их хранение. Для медицинских учреждений, управляющих конфиденциальными данными пациентов, хранение записей аудита в течение необходимых периодов является важным для соблюдения нормативных требований здравоохранения.

Поскольку наша сеть медицинских учреждений продолжает поддерживать высокие стандарты защиты данных, ИТ-группа по соответствию использует аудит (Премиум) для обеспечения хранения всех журналов аудита в течение необходимых периодов. Это обязательство поддерживает текущие оценки безопасности и соответствие стандартам защиты данных о работоспособности, обеспечивая надежную основу для любых необходимых проверок соответствия требованиям или расследований.

Здесь вы узнаете:

  • Общие сведения о политиках хранения по умолчанию и настраиваемых политиках хранения, доступных в audit (Premium).
  • Настройте политики хранения журналов аудита с помощью портала Microsoft Purview и портала соответствия требованиям.
  • Управляйте политиками хранения, чтобы обеспечить соответствие требованиям и политикам безопасности организации.

Обзор политики хранения журналов аудита

В Аудит Microsoft Purview (Премиум) вы можете создавать политики хранения журналов аудита и управлять ими, определяющими время хранения журналов аудита, поддерживая соответствие нормативным требованиям. Эта возможность позволяет в течение срока хранения до 10 лет и доступна как на портале Microsoft Purview, так и в Портал соответствия требованиям Microsoft Purview.

Политики хранения журналов аудита в audit (Premium) позволяют организациям устанавливать время хранения на основе следующих данных:

  • Все действия в одной или нескольких службах Microsoft 365.
  • Конкретные действия в службе Microsoft 365, выполняемые всеми или определенными пользователями.
  • Уровень приоритета, определяющий, какая политика имеет приоритет при наличии нескольких политик.

Политика хранения по умолчанию

Аудит (Премиум) автоматически предоставляет политику хранения по умолчанию для каждой организации, сохраняя все записи аудита из Exchange Online, SharePoint, OneDrive и Microsoft Entra в течение одного года. Эта политика включает записи, связанные с идентификатором Microsoft Entra, Exchange, OneDrive и рабочими нагрузками SharePoint. Хотя эта политика по умолчанию не может быть изменена, вы можете создать пользовательские политики, чтобы задать разные сроки хранения для определенных рабочих нагрузок или типов записей.

Рекомендации по настройке политик хранения журналов аудита

Имейте в виду эти рекомендации перед настройкой политик хранения журналов аудита в Аудит Microsoft Purview (Премиум):

  • Необходимая роль. Только пользователи с ролью "Конфигурация организации" на портале Microsoft Purview или портале соответствия требованиям могут создавать или изменять политики хранения аудита.
  • Ограничение политики. Каждая организация может иметь до 50 политик хранения журналов аудита.
  • Требования к лицензии:
    • Для хранения журналов аудита за пределами 180 дней пользователи должны иметь лицензию на Office 365 E5, Microsoft 365 E5 или аналогичную лицензию на надстройку E5. Это позволяет сохранить до одного года.
    • Для 10-летнего хранения пользователи также должны иметь 10-летнюю лицензию на хранение журналов аудита.
  • Приоритет политики: настраиваемые политики переопределяют политику по умолчанию. Например, если пользовательская политика задает более короткий период хранения, чем значение по умолчанию для определенных записей, применяется настраиваемый период.
  • Время хранения данных: длительность хранения журнала аудита устанавливается при первом регистрации данных на основе лицензии пользователя и применимых политик. Последующие изменения политик или лицензий влияют только на новые данные, которые еще не регистрировались.

Создание политик хранения журналов аудита и управление ими

В Аудит Microsoft Purview (Premium) можно настроить политики хранения журналов аудита как на портале Microsoft Purview, так и в Портал соответствия требованиям Microsoft Purview. Эти политики определяют, сколько времени хранятся журналы аудита, поддерживая соответствие вашей организации нормативным требованиям.

Действия по созданию политики хранения журналов аудита

Независимо от того, используете ли вы портал Microsoft Purview или Портал соответствия требованиям Microsoft Purview, действия по созданию политики хранения аудита похожи:

  1. Войдите на портал Microsoft Purview или Портал соответствия требованиям Microsoft Purview с учетной записью пользователя с ролью "Конфигурация организации".

  2. Чтобы перейти к решению аудита, выполните следующие действия.

    • На портале Microsoft Purview выберите карточку решения аудита. Если он не отображается, выберите "Просмотреть все решения ", а затем выберите "Аудит".
    • В Портал соответствия требованиям Microsoft Purview: выберите "Аудит" на левой панели, а затем вкладка "Политики хранения аудита".

  3. Выберите " Создать политику хранения аудита". Здесь необходимо заполнить эти поля на всплывающей странице:

    1. Имя политики: введите уникальное имя политики.
    2. Описание. Укажите необязательное краткое описание политики.
    3. Пользователи: укажите, к каким пользователям применяется политика. Оставьте пустым, чтобы покрыть всех пользователей.
    4. Тип записи: выберите тип записи аудита, к к какой политике применяется политика. Если выбрать несколько типов записей, вы не можете выбрать определенные действия.
    5. Длительность. Задайте срок хранения журналов с параметрами от семи дней до 10 лет. Примечание. Для хранения журналов в течение более чем одного года требуется определенное лицензирование.
    6. Приоритет: задайте приоритет, где меньшее число означает более высокий приоритет, чтобы определить порядок приложения политики.

    Снимок экрана: страница всплывающего меню новой политики хранения аудита.

  4. После заполнения необходимых полей нажмите кнопку "Сохранить".

Новая политика отображается в списке политик в разделе "Политики ", если он был создан на портале Microsoft Purview. Если вы создали политику хранения аудита в Портал соответствия требованиям Microsoft Purview, на вкладке "Политики хранения аудита" появится новая политика.

Управление политиками на портале соответствия

Политики можно просматривать, изменять или удалять на панели мониторинга политик хранения аудита. Корректировки приоритета и изменения параметров можно внести через интерфейс портала или с помощью PowerShell для более сложных конфигураций.

Снимок экрана: столбец приоритета на панели мониторинга политик хранения аудита.

Расширенное управление с помощью PowerShell

Команды PowerShell обеспечивают гибкость при создании, просмотре, редактировании и удалении политик хранения, особенно для сложных настроек. Для управления политиками в PowerShell используйте PowerShell безопасности и соответствия требованиям.

  • Создайте политики в PowerShell с помощью командлета New-UnifiedAuditLogRetentionPolicy . В этом примере создается политика с именем "Политика аудита Microsoft Teams", чтобы сохранить все действия в течение 10 лет с приоритетом 100:

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100

  • Просмотр политик в PowerShell с помощью командлета Get-UnifiedAuditLogRetentionPolicy . В этом примере отображаются параметры для всех политик хранения журналов аудита в организации и сортируют политики с наивысшим приоритетом:

    Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

  • Изменение политик в PowerShell с помощью командлета Set-UnifiedAuditLogRetentionPolicy .

  • Удалите политики в PowerShell с помощью командлета Remove-UnifiedAuditLogRetentionPolicy . Для удаления политики из организации может потребоваться до 30 минут.

Проверка знаний

Выберите оптимальный ответ на приведенный ниже вопрос.