Проведение поиска с помощью аудита (стандартный)

10 мин

Аудит Microsoft Purview (стандартный) предоставляет средства для ведения журнала в службах Microsoft 365. Это помогает эффективно использовать поиск журналов аудита для реагирования на инциденты безопасности и управления соответствием требованиям, обеспечивая тщательный надзор и быстрый анализ в организации.

Ит-отдел по соответствию требованиям в сети медицинских учреждений использует Аудит Microsoft Purview (стандарт) для эффективного управления и проверки доступа к электронным записям здравоохранения (EHR). Эта настройка гарантирует правильность ведения журнала всех доступа и соответствует законам о защите данных о работоспособности. С помощью этой системы команда готова решить проблемы безопасности и улучшить процессы аудита.

Здесь вы узнаете:

Подготовка и настройка среды поиска в журнале аудита в Аудит Microsoft Purview (стандартный).
Эффективное проведение заданий поиска аудита и управление ими.
Анализ результатов поиска для расследования и реагирования на инциденты безопасности.

Подготовка к поиску в журнале аудита

Перед поиском в журнале аудита убедитесь, что система настроена правильно:

Убедитесь, что поиск в журнале аудита включен в корпоративной среде Microsoft 365 или Office 365 с помощью этой команды в Exchange Online PowerShell:
```
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
```
Если возвращается TrueunifiedAuditLogIngestionEnabled, включен поиск по журналам аудита.
Убедитесь, что у вас есть одна из необходимых ролей для просмотра журнала аудита, журналов аудита или журналов аудита только для просмотра. Эти роли включены по умолчанию в группы ролей "Диспетчер аудита" и "Читатель аудита" на странице "Разрешения " на портале соответствия требованиям.
Понимать, что хранение записей аудита зависит от типа лицензии пользователя:
- Владельцы лицензий E5: записи для идентификатора Microsoft Entra ID, Exchange и SharePoint по умолчанию сохраняются в течение одного года. Политики хранения журналов аудита можно настроить для других служб для хранения записей до одного года.
- Владельцы лицензий, отличные от E5: записи хранятся в течение 180 дней.
Search-UnifiedAuditLog Используйте командлет в Exchange Online PowerShell для выполнения поиска за пределами портала соответствия требованиям. Этот метод поддерживает интеграцию с автоматизированными скриптами или сложными запросами.
Для загрузки программных данных используйте API действий управления Office 365 для разработки настраиваемых операций, безопасности и соответствия требованиям.

Проведение поиска аудита

Чтобы выполнить поиск в журнале аудита в Портал соответствия требованиям Microsoft Purview:

Войдите в Портал соответствия требованиям Microsoft Purview.
Перейдите на вкладку "Аудит " на левой панели, а затем выберите вкладку "Создать поиск " в верхней части страницы.
На вкладке "Создать поиск " настройте параметры поиска в соответствии с соответствующими параметрами:
- Диапазон дат. По умолчанию поиски охватывают последние семь дней. Вы можете настроить дату начала и конец не более 180 дней.
- Поиск ключевых слов: введите ключевые слова или фразы для поиска определенных событий или сведений. Используйте звездочку (*), чтобы заменить все специальные символы.
- Единицы администрирования: выберите определенные единицы администрирования или оставьте это поле пустым, чтобы включить все единицы.
- Типы действий: выберите из понятных имен или укажите имена операций для целевых поисковых запросов.
- Типы записей: выберите из списка, чтобы сосредоточиться на действиях, связанных с определенными службы Майкрософт.
- Имя поиска: присвойте поиску более простой идентификации. Неименованные поисковые запросы автоматически называются на основе параметров поиска.
- Пользователи: укажите отдельных пользователей или оставьте это поле пустым, чтобы включить всех пользователей и учетных записей служб.
- Файл, папка или сайт: введите полные или частичные имена файлов и папок или полный URL-адрес файла или папки для поиска связанных действий. Подстановочные знаки (*) можно использовать для частичных имен. Оставьте пустым, чтобы включить все файлы и папки в вашу организацию в поиск.
- Рабочие нагрузки: выполните поиск действий, связанных с определенными службы Майкрософт, введя их имена.
После задания всех условий выберите "Поиск". Одновременно на каждую учетную запись пользователя можно выполнять до 10 заданий поиска. Если вам требуется более 10 заданий поиска, необходимо дождаться завершения или удаления задания поиска.

Управление заданиями поиска аудита

Эффективное управление заданиями поиска аудита является важным для поддержания соответствия организации и аналитики безопасности.

Обзор задания поиска

Панель мониторинга задания поиска содержит общие сведения о текущих и завершенных поисках:

Имя поиска: отображает имя задания поиска. Полное имя отображается путем наведения указателя мыши на имя задания поиска.
Состояние задания: указывает, находится ли задание в очереди, выполняется или завершено.
Ход выполнения (%): показывает, сколько заданий завершено.
Время поиска: общее время выполнения задания.
Общее количество результатов: количество результатов, полученные в поиске.
Время создания: метка времени UTC при создании задания.
Поиск, выполняемый: учетная запись пользователя, которая инициировала задание поиска.

Вы можете удалить задание поиска, выбрав задание, а затем нажмите кнопку "Удалить". Это действие удаляет определение задания поиска и связанные результаты, но не влияет на базовые данные. Скопируйте этот поиск , чтобы дублировать и изменить условия поиска для новых запросов.

Панель мониторинга сведений о задании поиска

Для получения подробных сведений из определенного задания поиска выберите его для просмотра:

Дата (UTC): когда действие произошло.
IP-адрес: IP-адрес устройства, выполняющий действие.
Пользователь: пользователь, который выполнил действие.
Тип записи: тип записей, зарегистрированных.
Действие: конкретное действие, предпринятое.
Элемент: целевой объект действия (файл, папка или сайт).
Единицы администрирования: административная единица пользователя.
Сведения: расширенные сведения о действии.

Эту информацию можно отсортировать и отфильтровать или экспортировать до 50 КБ для аудита (стандартный) и 500 КБ для аудита (премиум) в CSV-файл.

Сценарий. Исследование несанкционированного доступа к записям пациентов

Группа ит-соответствия в сети медицинских учреждений использует Аудит Microsoft Purview (стандартный) для решения распространенных проблем: определение того, удаляются ли пользователи сообщения электронной почты, связанные с данными пациента. Цель этого расследования заключается в выявлении любых несанкционированных удалений, которые могут компрометировать конфиденциальность пациентов и нарушать правила защиты данных о работоспособности.

Команда ИТ-соответствия выполнила следующие действия, используя Аудит Microsoft Purview для расследования инцидента:

Определите критерии поиска:
- Действия. В разделе "Действия почтового ящика Exchange" выберите "Удаленные сообщения" из папки "Удаленные элементы" и "Очистить сообщения из почтового ящика", чтобы сосредоточиться на действиях, в которых сообщения электронной почты могли быть намеренно удалены из записей пациентов.
- Диапазон дат: задайте интервал времени во время уведомления о подозрительных удалениях.
- Пользователи: сосредоточьтесь на учетных записях пользователей, которые обращаются к электронной почте громких пациентов или показали необычное действие в течение помеченного периода.
Выполните поиск:
- Доступ к аудиту в Портал соответствия требованиям Microsoft Purview и запуск нового поиска с помощью установленных условий.
- Проверьте результаты для любых удалений, которые не были несанкционированными или не соответствуют обычным обязанностям. Найдите такие действия, как удаление значительных объемов сообщений электронной почты внезапно или очистка записей без надлежащей авторизации.
Просмотрите и проанализируйте результаты:
- Проанализируйте каждую соответствующую запись, чтобы понять контекст удаления. Этот анализ включает в себя изучение времени удаления, IP-адреса, сведений о пользователе и точном характере удаленных сообщений электронной почты.
- После выполнения поиска отфильтруйте результаты поиска, чтобы отобразить записи аудита для обратимо удаленных или жестко удаленных элементов. Выберите запись аудита, чтобы открыть всплывающее меню "Сведения ", а затем нажмите кнопку "Дополнительные сведения". Здесь вы найдете дополнительные сведения об удаленном элементе, например строке темы и расположении элемента при удалении.
  
  Пример записи аудита для обратимого удаленного элемента:
  
  Пример записи аудита для удаленного элемента:
Корректирующие действия:
- При подтверждении несанкционированного удаления инициируйте протокол реагирования на инциденты. Этот протокол может включать информирование затронутых сторон, защиту скомпрометированных учетных записей и изменение политик доступа к данным.
- Если удаления были частью регулярных обязанностей, но помечены из-за необычного объема или времени, обновите пороговые значения мониторинга. Это изменение помогает свести к минимуму ложные срабатывания при сохранении надежных протоколов безопасности.

Параметры восстановления удаленных сообщений электронной почты

Рассмотрим варианты восстановления для элементов SoftDeleted и HardDeleted. Пользователи могут восстановить элементы SoftDeleted, если действие истекает в течение срока хранения, как правило, 14–30 дней. Элементы hardDeleted также могут быть восстановлены, если почтовый ящик находится на удержании.
Используйте средства поиска, доступные в Портал соответствия требованиям Microsoft Purview, чтобы попытаться восстановить удаленные электронные письма, что крайне важно, когда может повлиять на уход или конфиденциальность пациентов.

Этот подход помогает группе по соответствию медицинских учреждений обращаться к любой неуместным удалениям электронной почты, поддерживая их приверженность поддержанию строгой конфиденциальности пациентов и соблюдения нормативных требований здравоохранения.

Проверка знаний

Выберите оптимальный ответ на приведенный ниже вопрос.