Geavanceerde audit in Microsoft 365
De auditfunctionaliteit in Microsoft 365 biedt organisaties inzicht in de vele typen gecontroleerde activiteiten in diverse services in Microsoft 365. Geavanceerde audit helpt organisaties bij het uitvoeren van forensische en compliance-onderzoeken door de retentieperiode te verlengen voor de auditlogboeken die nodig zijn om een onderzoek uit te voeren. Hierdoor wordt toegang geboden tot belangrijke gebeurtenissen (via de functie voor zoeken in auditlogboeken in het Microsoft 365-compliancecentrum en de Office 365 Management Activity-API) waarmee u de omvang van de inbreuk kunt bepalen en sneller toegang krijgt tot de Office 365 Management Activity-API.
Notitie
Geavanceerde audit is beschikbaar voor organisaties met een Office 365 E5/A5/G5- of Microsoft 365 Enterprise E5/A5/G5-abonnement. Een licentie voor Microsoft 365 E5/A5/G5 Compliance of E5/A5/G5 eDiscovery en de Audit-invoegtoepassing moet worden toegewezen aan gebruikers voor de functies van Geavanceerde audit, zoals langetermijnretentie van auditlogboeken en het genereren van belangrijke gebeurtenissen voor onderzoeken met Geavanceerde audit. Zie voor meer informatie over licenties:
- Licentievereisten voor Geavanceerde audit
- Richtlijnen voor Microsoft 365-licenties voor beveiliging en compliance.
In dit artikel vind je een overzicht van de Geavanceerde audit-mogelijkheden en wordt beschreven hoe je gebruikers kunt instellen voor Geavanceerde audit.
Langetermijnretentie van auditlogboeken
Met Geavanceerde audit blijven alle Exchange-, SharePoint- en Azure Active Directory-auditrecords één jaar bewaard. Dit gebeurt via een standaardbewaarbeleid voor auditlogboeken waarin auditrecords gedurende één jaar worden bewaard die de waarde van Exchange, SharePoint of AzureActiveDirectory bevatten voor de eigenschap Workload (waarmee de service wordt aangegeven waarin de activiteit heeft plaatsgevonden). Als auditrecords langer worden bewaard, kan dit handig zijn voor doorlopend forensisch en complianceonderzoek. Zie de sectie 'Standaardbewaarbeleid voor auditlogboeken' in Bewaarbeleid voor auditlogboek beheren.
Naast de retentiemogelijkheid van één jaar van Geavanceerde audit bieden we nu ook de mogelijkheid om auditlogboeken gedurende 10 jaar te bewaren. Doordat de auditlogs 10 jaar worden bewaard, kunnen langlopende onderzoeken worden ondersteund en kan worden voldaan aan wettelijke, juridische en interne verplichtingen.
Notitie
Voor het bewaren van auditlogs gedurende 10 jaar is een extra invoegtoepassings-licentie per gebruiker nodig. Nadat deze licentie is toegewezen aan een gebruiker en een geschikt 10-jarig bewaarbeleid voor auditlogs is ingesteld voor die gebruiker, zullen auditlogs die onder dat beleid vallen gedurende 10 jaar worden bewaard. Dit beleid is niet retroactief en kan geen auditlogboeken bewaren die zijn gegenereerd voordat het bewaarbeleid van 10 jaar voor auditlogboeken was ingesteld. Zie de veelgestelde vragen over Geavanceerde audit in dit artikel voor meer informatie.
Bewaarbeleid voor auditlogboeken beheren
Alle auditrecords die worden gegenereerd in andere services die niet vallen onder het standaardbewaarbeleid voor auditlogboeken (beschreven in de vorige sectie), worden 90 dagen bewaard. Maar u kunt aangepast bewaarbeleid voor auditlogboeken maken om andere auditrecords gedurende langere perioden tot tien jaar te bewaren. U kunt een beleid maken om auditrecords te bewaren op basis van een of meer van de volgende criteria:
De Microsoft 365-service waar de gecontroleerde activiteiten plaatsvinden.
Specifieke gecontroleerde activiteiten.
De gebruiker die een gecontroleerde activiteit uitvoert.
U kunt ook opgeven hoelang u auditrecords die overeenkomen met het beleid en een prioriteitsniveau, wilt bewaren, zodat specifiek beleid prioriteit krijgt boven ander beleid. Elk aangepast bewaarbeleid voor auditlogboeken heeft voorrang op het standaardbewaarbeleid voor auditlogboeken als u Exchange-, SharePoint- of Azure Active Directory-auditrecords minder dan een jaar (of gedurende tien jaar) wilt bewaren voor bepaalde of alle gebruikers in uw organisatie. Zie Bewaarbeleid voor auditlogboeken beheren voor meer informatie.
Geavanceerde-auditgebeurtenissen
Met Geavanceerde audit kunnen organisaties forensisch en compliance-onderzoek uitvoeren door toegang te bieden tot belangrijke gebeurtenissen, zoals wanneer e-mailitems zijn geopend, beantwoord en doorgestuurd, en wanneer en wat een gebruiker heeft gezocht in Exchange Online en SharePoint Online. Aan de hand van deze belangrijke gebeurtenissen kunt u mogelijke schendingen onderzoeken en de omvang van de inbreuk bepalen. Naast de belangrijke gebeurtenissen in Exchange en SharePoint zijn er gebeurtenissen in andere Microsoft 365-services die als belangrijke gebeurtenissen worden beschouwd en waarvoor een passende licentie van Geavanceerde audit moet worden geregistreerd. Gebruikers moeten een licentie voor Geavanceerde audit hebben, zodat auditlogboeken worden gegenereerd wanneer gebruikers deze gebeurtenissen uitvoeren.
Geavanceerde audit omvat de volgende belangrijke gebeurtenissen:
Notitie
* Op dit moment is deze programmagebeurtenis niet beschikbaar in Office 365- en Microsoft 365 Government GCC High- en DoD-omgevingen.
MailItemsAccessed
De gebeurtenis MailItemsAccessed is een auditactie voor postvakken en wordt geactiveerd wanneer e-mailgegevens worden gebruikt door e-mailprotocollen en e-mailclients. Met deze gebeurtenis kunnen onderzoekers gegevenslekken identificeren en bepalen hoeveel en welke berichten mogelijk zijn gecompromitteerd. Als een kwaadwillende gebruiker toegang heeft gekregen tot e-mailberichten, wordt de actie MailItemsAccessed geactiveerd, ook als er geen expliciet signaal is dat berichten daadwerkelijk zijn gelezen (met andere woorden het type toegang zoals een binding of synchronisatie wordt vastgelegd in de auditrecord).
De gebeurtenis MailItemsAccessed vervangt MessageBind in de logboekregistratie voor postvakcontrole in Exchange Online en biedt de volgende verbeteringen:
MessageBind was alleen configureerbaar voor aanmeldingstype van de AuditAdmin-gebruiker; het was niet van toepassing op acties van gedelegeerden of eigenaren. MailItemsAccessed is van toepassing op alle aanmeldingstypes.
MessageBind kon alleen worden gebruikt door een e-mailclient. De actie was niet van toepassing op synchronisatieactiviteiten. MailItemsAccessed-gebeurtenissen worden geactiveerd door de toegangstypen binding en synchronisatie.
MessageBind acties zouden leiden tot het aanmaken van meerdere audit records wanneer hetzelfde e-mail bericht werd geopend, wat resulteerde in auditing "ruis". In tegenstelling hiermee worden MailItemsAccessed gebeurtenissen samengevoegd in minder auditrecords.
Zie Geavanceerde audit gebruiken om gecompromitteerde accounts te onderzoeken voor informatie over auditrecords voor MailItemsAccessed-activiteiten.
Als u MailItemsAccessed-auditrecords wilt zoeken, kunt u zoeken naar de activiteit Geopende postvakitems in de vervolgkeuzelijst Activiteiten in Exchange-postvak in het hulpprogramma Zoeken in auditlogboek in het Microsoft 365-compliancecentrum.
U kunt ook de opdracht Search-UnifiedAuditLog -Operations MailItemsAccessed of Search-MailboxAuditLog -Operations MailItemsAccessed uitvoeren in Exchange Online PowerShell.
Send
De gebeurtenis Send is ook een auditactie voor postvakken en wordt geactiveerd wanneer een gebruiker een van de volgende acties uitvoert:
Een e-mailbericht verzendt
Een e-mailbericht beantwoordt
Een e-mailbericht doorstuurt
Onderzoekers kunnen met behulp van de gebeurtenis Send e-mail identificeren die is verzonden vanaf een gecompromitteerd account. De auditrecord voor een Send-gebeurtenis bevat informatie over het bericht, zoals wanneer het bericht is verzonden, de InternetMessage-id, de onderwerpregel en of het bericht bijlagen bevat. Met deze auditgegevens kunnen onderzoekers informatie identificeren over e-mailberichten die zijn verzonden vanaf een gecompromitteerd account of door kwaadwillende gebruikers. Bovendien kunnen onderzoekers een Microsoft 365 eDiscovery-hulpprogramma gebruiken om te zoeken naar het bericht (met behulp van de onderwerpregel of bericht-id) om de geadresseerden te identificeren naar wie het bericht is verzonden en de werkelijke inhoud van het verzonden bericht.
Als u verzonden auditrecords wilt zoeken, kunt u zoeken naar de activiteit Verzonden bericht in de vervolgkeuzelijst Activiteiten in Exchange-postvak in het hulpprogramma Zoeken in auditlogboek in het Microsoft 365-compliancecentrum.
U kunt ook de opdracht Search-UnifiedAuditLog -Operations Send of Search-MailboxAuditLog -Operations Send uitvoeren in Exchange Online PowerShell.
SearchQueryInitiatedExchange
De gebeurtenis SearchQueryInitiatedExchange wordt geactiveerd wanneer een persoon Outlook gebruikt om te zoeken naar items in een postvak. Gebeurtenissen worden geactiveerd wanneer zoekopdrachten worden uitgevoerd in de volgende Outlook-omgevingen:
Outlook (desktopclient)
De webversie van Outlook
Outlook voor iOS
Outlook voor Android
Mail-app voor Windows 10
Onderzoekers kunnen via de gebeurtenis SearchQueryInitiatedExchange nagaan of een kwaadwillende gebruiker die mogelijk een account heeft gecompromitteerd, in het postvak heeft gezocht naar of geprobeerd toegang te krijgen tot gevoelige informatie. De auditrecord voor een gebeurtenis SearchQueryInitiatedExchange bevat informatie zoals de werkelijke tekst van de zoekquery. De auditrecord geeft ook aan in welke Outlook-omgeving de zoekopdracht is uitgevoerd. Door de zoekquery's te analyseren die een kwaadwillende gebruiker mogelijk heeft uitgevoerd, kan een onderzoeker beter begrijpen waarom er naar bepaalde e-mailgegevens zijn gezocht.
Als u SearchQueryInitiatedExchange-auditrecords wilt zoeken, kunt u zoeken naar de activiteit Uitgevoerde zoekopdracht in e-mail in de vervolgkeuzelijst Activiteiten zoeken in het hulpprogramma Zoeken in auditlogboek in het compliancecentrum.
Je kunt ook de opdracht Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange uitvoeren in Exchange Online PowerShell.
Notitie
U moet SearchQueryInitiatedExchange inschakelen om te worden geregistreerd, zodat u deze gebeurtenis in het auditlogboek kunt zoeken. Zie Advanced Audit instellen voor instructies.
SearchQueryInitiatedSharePoint
Net als bij het zoeken naar postvakitems wordt de gebeurtenis SearchQueryInitiatedSharePoint geactiveerd wanneer een persoon naar items zoekt in SharePoint. Gebeurtenissen worden geactiveerd wanneer zoekopdrachten worden uitgevoerd in de volgende typen SharePoint-sites:
Startsites
Communicatiesites
Hubsites
Sites die zijn gekoppeld aan Microsoft Teams
Onderzoekers kunnen met behulp van de gebeurtenis SearchQueryInitiatedSharePoint nagaan of een kwaadwillende gebruiker naar gevoelige informatie heeft gezocht (en mogelijk hier toegang toe heeft gekregen) in SharePoint. De auditrecord voor een gebeurtenis SearchQueryInitiatedSharePoint bevat ook informatie zoals de werkelijke tekst van de zoekquery. De auditrecord geeft ook aan welk type SharePoint-site is doorzocht. Door de zoekquery's te analyseren die een kwaadwillende gebruiker mogelijk heeft uitgevoerd, kan een onderzoeker beter begrijpen waarom en in welke mate er naar bepaalde bestandsgegevens zijn gezocht.
Als u SearchQueryInitiatedSharePoint-auditrecords wilt zoeken, kunt u zoeken naar de activiteit Uitgevoerde zoekopdracht in SharePoint in de vervolgkeuzelijst Activiteiten zoeken in het hulpprogramma Zoeken in auditlogboek in het compliancecentrum.
Je kunt ook de opdracht Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint uitvoeren in Exchange Online PowerShell.
Notitie
U moet SearchQueryInitiatedSharePoint inschakelen om te worden geregistreerd, zodat u deze gebeurtenis in het auditlogboek kunt zoeken. Zie Advanced Audit instellen voor instructies.
Overige Geavanceerde-auditgebeurtenissen in Microsoft 365
Naast de gebeurtenissen in Exchange Online en SharePoint Online zijn er gebeurtenissen in overige Microsoft 365-services die worden geregistreerd wanneer gebruikers de passende licentie voor Geavanceerde audit toegewezen krijgen. De volgende Microsoft 365-services bieden gebeurtenissen van Geavanceerde audit. Klik op de bijbehorende koppeling voor een artikel waarin deze gebeurtenissen worden geïdentificeerd en beschreven.
Toegang met hoge bandbreedte tot de Office 365 Management Activity-API
Organisaties met toegang tot auditlogboeken via de Office 365 Management Activity-API hadden te maken met beperkingslimieten op uitgeversniveau. Dit betekent dat voor een uitgever die gegevens ophaalt namens meerdere klanten, de limiet werd gedeeld door al die klanten.
Met de release van Geavanceerde audit gaan we over van een limiet op uitgeversniveau naar een limiet op tenantniveau. Hierdoor krijgt elke organisatie een eigen, volledig toegewezen bandbreedtequotum voor toegang tot de auditgegevens. De bandbreedte is geen statische, vooraf gedefinieerde limiet, maar is gebaseerd op een combinatie van factoren, waaronder het aantal seats in de organisatie en dat E5/A5/G5-organisaties meer bandbreedte krijgen dan niet-E5/A5/G5-organisaties.
Aan alle organisaties wordt in eerste instantie een basislijn van 2000 aanvragen per minuut toegewezen. Deze limiet wordt dynamisch verhoogd, afhankelijk van het aantal seats en het licentieabonnement van een organisatie. E5/A5/G5-organisaties krijgen ongeveer twee keer zoveel bandbreedte als niet-E5/A5/G5-organisaties. Er is ook een limiet voor de maximale bandbreedte om de goede werking van de service te waarborgen.
Zie de sectie over API-beperking in de Engelstalige Office 365 Management Activity-API-handleiding voor meer informatie.
Veelgestelde vragen over Geavanceerde audit
Heeft elke gebruiker een E5/A5/G5-licentie nodig om gebruik te kunnen maken van Geavanceerde audit?
Om gebruik te kunnen maken van Geavanceerde audit-mogelijkheden op gebruikersniveau, moet aan een gebruiker een E5/A5/G5-licentie zijn toegewezen. Er zijn bepaalde mogelijkheden waarmee kan worden gecontroleerd op de juiste licentie om de functie beschikbaar te maken voor de gebruiker. Als je bijvoorbeeld de auditrecords wilt bewaren voor een gebruiker aan wie langer dan 90 dagen niet de juiste licentie is toegewezen, wordt er een foutbericht weergegeven.
Mijn organisatie heeft een E5/A5/G5-abonnement. Moet ik iets doen om toegang te krijgen tot auditrecords voor gebeurtenissen van Geavanceerde audit?
In aanmerking komende klanten en gebruikers met de juiste E5/A5/G5-licentie hoeven geen actie te ondernemen om toegang te krijgen tot gebeurtenissen van Geavanceerde audit, met uitzondering van het inschakelen van de gebeurtenissen SearchQueryInitiatedExchange en SearchQueryInitiatedSharePoint (zoals eerder beschreven in dit artikel). Gebeurtenissen van Geavanceerde audit worden alleen gegenereerd voor gebruikers met E5/A5/G5-licenties zodra deze licenties zijn toegewezen.
Zijn de nieuwe gebeurtenissen in Geavanceerde audit beschikbaar in de Office 365 Management Activity-API?
Ja. Zolang auditrecords worden gegenereerd voor gebruikers met de juiste licentie, heeft u toegang tot deze records via deOffice 365 Management Activity-API.
Wat gebeurt er met de auditlogboekgegevens van mijn organisatie als ik een bewaarbeleid voor het auditlogboek van 10-jaar heb gemaakt toen de functie algemeen beschikbaar werd, maar voordat de vereiste licentie voor de invoegtoepassing beschikbaar werd?
Alle auditlogboekgegevens die vallen onder een bewaarbeleid voor auditlogboeken van tien jaar dat u hebt gemaakt nadat de functie in het laatste kwartaal van 2020 algemeen beschikbaar werd, blijven tien jaar bewaard. Dit geldt ook voor bewaarbeleid voor auditlogboeken gedurende 10 jaar dat is gemaakt voordat de vereiste licentie voor de invoegtoepassing werd uitgebracht voor aankoop in maart 2021. Aangezien de licentie voor het bewaren van het auditlogboek gedurende 10 jaar nu beschikbaar is, moet u deze invoeglicenties kopen en toewijzen aan alle gebruikers van wie de auditgegevens worden vallen onder een bewaarbeleid voor auditlogboeken van 10 jaar.