Avancerad granskning i Microsoft 365

  • Artikel
  • 4 minuter för att läsa

Funktionen Granskning i Microsoft 365 ger organisationer insyn i flera typer av granskade aktiviteter i flera olika tjänster i Microsoft 365. Avancerad granskning hjälper organisationer att utföra tekniska och efterlevnadsundersökningar genom att öka kvarhållningen av granskningsloggar som krävs för att utföra en undersökning, ge åtkomst till viktiga händelser (med hjälp av granskningsloggsökning i Microsoft 365 Efterlevnadscenter och Office 365 Management Activity API) som hjälper till att fastställa omfattningen av kompromettering och snabbare åtkomst till Office 365 Management Activity API.

Anteckning

Avancerad granskning är tillgängligt för organisationer med en prenumeration på Office 365 E5/A5/G5 eller Microsoft 365 Enterprise E5/A5/G5. En tilläggslicens för Microsoft 365 E5/A5/G5 Compliance eller E5/A5/G5 eDiscovery och Granskning bör tilldelas användare för avancerade granskningsfunktioner som långsiktig kvarhållning av granskningsloggar och generering av händelser för Avancerad granskning för undersökningar. Mer information om licensering finns i:
- Licenskrav för avancerad granskning
- Vägledning för säkerhet och efterlevnad med licensiering i Microsoft 365.

Den här artikeln innehåller en översikt över funktioner i Avancerad granskning och visar hur du konfigurerar användare för Avancerad granskning.

Långsiktig kvarhållning av granskningsloggar

Avancerad granskning bevarar alla granskningsposter för Exchange, SharePoint och Azure Active Directory i ett år. Detta görs med en standardkvarhållningsprincip för granskningsloggar som bevarar alla granskningsposter som innehåller värdet Exchange, SharePoint eller AzureActiveDirectory för egenskapen Arbetsbelastning (vilket anger i vilken tjänst aktiviteten inträffade) i ett år. Att bevara granskningsposter under en längre period kan vara till hjälp vid pågående tekniska undersökningar och efterlevnadsundersökningar. Mer information finns i avsnittet Standardkvarhållningsprincip för granskningsloggar i Hantera kvarhållningsprinciper för granskningsloggar.

Förutom de ettåriga kvarhållningsfunktionerna i Avancerad granskning har vi även släppt möjligheten att behålla granskningsloggar i 10 år. Den tioåriga kvarhållningen av granskningsloggar bidrar till att stödja långa undersökningar och hantera regelmässiga, juridiska och interna skyldigheter.

Anteckning

För att bevara granskningsloggar i tio år krävs ytterligare en tilläggslicens per användare. När den här licensen har tilldelats en användare och en lämplig kvarhållningsprincip för granskningsloggar på 10 år har angetts för den användaren, kommer granskningsloggar som omfattas av den principen att behållas under tioårsperioden. Den här principen är inte retroaktiv och kan inte behålla granskningsloggar som genererades innan den 10-åriga kvarhållningsprincipen för granskningsloggar skapades. Mer information finns i avsnittet Vanliga frågor och svar om Avancerad granskning i den här artikeln.

Kvarhållningsprinciper för granskningsloggar

Alla granskningsposter som genereras i andra tjänster och som inte omfattas av standardkvarhållningsprincipen för granskningsloggar (som beskrivs i föregående avsnitt) bevaras i 90 dagar. Men du kan skapa anpassade kvarhållningsprinciper för granskningsloggar om du vill bevara andra granskningsposter under en längre period (upp till tio år). Du kan skapa en princip för att bevara granskningsposter baserat på ett eller flera av följande villkor:

  • Microsoft 365-tjänsten där de granskade aktiviteterna inträffar.

  • Specifika granskade aktiviteter.

  • Användaren som utför en granskad aktivitet.

Du kan också ange hur lång tid de granskningsposter som matchar principen ska bevaras och ange en prioritetsnivå så att vissa principer prioriteras framför andra. Observera också att eventuella anpassade kvarhållningsprinciper för granskningsloggar prioriteras framför standardkvarhållningsprincipen för granskning om du behöver bevara Exchange-, SharePoint- eller Azure Active Directory-granskningsposter i mindre än ett år (eller i tio år) för vissa eller alla användare i organisationen. Mer information finns i Hantera kvarhållningsprinciper för granskningsloggar.

Avancerade granskningshändelser

Avancerad granskning hjälper organisationer att utföra tekniska och efterlevnadsundersökningar genom att ge åtkomst till viktiga händelser, till exempel när e-postobjekt användes, när e-postobjekt besvarades och vidarebefordrades samt när och vad en användare sökte efter i Exchange Online och SharePoint Online. Dessa händelser kan hjälpa dig att undersöka möjliga intrång och avgöra intrångets omfattning. Förutom dessa händelser i Exchange och SharePoint finns det händelser i andra Microsoft 365 tjänster som anses vara viktiga händelser och kräver att användarna tilldelas lämplig licens för Avancerad granskning. Användare måste tilldelas en licens för Avancerad granskning så att granskningsloggar genereras när användarna utför dessa händelser.

Avancerad granskning innehåller följande händelser:

Anteckning

* För närvarande är den här händelsen inte tillgänglig i miljöer för Government GCC High eller DoD för Office 365 och Microsoft 365.

MailItemsAccessed

Händelsen MailItemsAccessed är en granskningsåtgärd för postlådor som utlöses när e-postdata används av e-postprotokoll och e-postklienter. Den här händelsen kan hjälpa utredare att identifiera dataintrång och fastställa omfattningen av meddelanden som kan ha komprometterats. Om en angripare får åtkomst till e-postmeddelanden utlöses åtgärden MailItemsAccessed även om det inte finns någon uttrycklig signal om att meddelandena faktiskt har lästs (d.v.s. att typen av åtkomst, till exempel en bindning eller en synkronisering har registrerats i granskningsposten).

Händelsen MailItemsAccessed ersätter MessageBind i granskningsloggningen för postlådor i Exchange Online och ger följande förbättringar:

  • MessageBind kunde bara konfigureras för användarinloggningstypen AuditAdmin. Den tillämpades inte för ombuds- eller ägaråtgärder.MailItemsAccessed gäller för alla inloggningstyper.

  • MessageBind omfattade endast åtkomst av en e-postklient. Den gällde inte för synkroniseringsaktiviteter. MailItemsAccessed-händelser utlöses av både åtkomsttypen bindning och synkronisering.

  • MessageBind-åtgärderna gjorde att flera granskningsposter skapades vid användning av samma e-postmeddelande, vilket resulterade i mycket brus. MailItemsAccessed-händelser aggregeras däremot till färre granskningsposter.

Information om granskningsposter för MailItemsAccessed-aktiviteter finns i Undersöka komprometterade konton med hjälp av Avancerad granskning.

Om du vill söka efter MailItemsAccessed-granskningsposter kan du söka efter aktiviteten Öppnade objekt i postlådan i listrutan Aktiviteter för Exchange-postlåda i sökverktyget för granskningsloggar i Microsoft 365 Efterlevnadscenter.

Söka efter MailItemsAccessed-åtgärder i sökverktyget för granskningsloggar.

Du kan också köra kommandot Search-UnifiedAuditLog -Operations MailItemsAccessed eller Search-MailboxAuditLog -Operations MailItemsAccessed i Exchange Online PowerShell.

Send

Händelsen Send är också en granskningsåtgärd för postlådor. Den utlöses när en användare utför någon av följande åtgärder:

  • Skickar ett e-postmeddelande

  • Svarar på ett e-postmeddelande

  • Vidarebefordrar ett e-postmeddelande

Utredare kan använda händelsen Send till att identifiera e-post som skickas från ett komprometterat konto. Granskningsposten för en Send-händelse innehåller information om meddelandet, till exempel när meddelandet skickades, ID för Internetmeddelande, ämnesraden och om meddelandet innehöll bifogade filer. Granskningsinformationen hjälper utredare att identifiera information om e-postmeddelanden som skickats från ett komprometterat konto eller som skickats av en angripare. Dessutom kan utredarna använda ett Microsoft 365 eDiscovery-verktyg för att söka efter meddelandet (med hjälp av ämnesraden eller meddelande-ID) och identifiera det skickade meddelandets mottagare och faktiska innehåll.

Om du vill söka efter Send-granskningsposter kan du söka efter aktiviteten Meddelande skickat i listrutan Aktiviteter för Exchange-postlåda i sökverktyget för granskningsloggar i Microsoft 365 Efterlevnadscenter.

Söka efter åtgärder för skickat meddelande i sökverktyget för granskningsloggar.

Du kan också köra kommandot Search-UnifiedAuditLog -Operations Send eller Search-MailboxAuditLog -Operations Send i Exchange Online PowerShell.

SearchQueryInitiatedExchange

Händelsen SearchQueryInitiatedExchange utlöses när en person använder Outlook för att söka efter objekt i en postlåda. Händelser utlöses när sökningar utförs i följande Outlook-miljöer:

  • Outlook (skrivbordsklient)

  • Outlook på webben (OWA)

  • Outlook för iOS

  • Outlook för Android

  • E-postprogram för Windows 10

Utredare kan använda händelsen SearchQueryInitiatedExchange för att ta reda om en angripare som kan ha komprometterat ett konto sökte efter eller försökte komma åt känslig information i postlådan. Granskningsposten för en SearchQueryInitiatedExchange-händelse innehåller information som den faktiska texten i sökfrågan. Granskningsposten anger också i vilken Outlook-miljö sökningen utfördes. Genom att titta på angriparens sökfrågor kan utredaren se vilken information angriparen var ute efter och få en bättre förståelse för syftet.

Om du vill söka efter SearchQueryInitiatedExchange-granskningsposter kan du söka efter aktiviteten Performed email search (Utförd e-postsökning) i listrutan Search activities (Sökaktiviteter) i sökverktyget för granskningsloggar i efterlevnadscentret.

Söka efter åtgärder för utförd e-postsökning i sökverktyget för granskningsloggar.

Du kan också köra Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange i Exchange Online PowerShell.

Anteckning

Du måste aktivera loggen för SearchQueryInitiatedExchange så att du kan söka efter den här händelsen i granskningsloggen. Anvisningar finns i Konfigurera Avancerad granskning.

SearchQueryInitiatedSharePoint

Precis som vid sökningar efter postlådeobjekt utlöses händelsen SearchQueryInitiatedSharePoint när en person söker efter objekt i SharePoint. Händelser utlöses när sökningar utförs i följande typer av SharePoint-webbplatser:

  • Startwebbplatser

  • Kommunikationswebbplatser

  • Navplatser

  • Webbplatser som är associerade med Microsoft Teams

Med händelsen SearchQueryInitiatedSharePoint kan utredare ta reda på om angriparen försökte hitta (och kanske lyckades komma åt) känslig information i SharePoint. Granskningsposten för en SearchQueryInitiatedSharePoint-händelse innehåller också den faktiska texten i sökfrågan. I granskningsposten anges också vilken typ av SharePoint-webbplats som genomsökts. Genom att titta på angriparens sökfrågor kan utredaren se vilken information angriparen var ute efter och få en bättre förståelse för omfattningen och syftet.

Om du vill söka efter SearchQueryInitiatedSharePoint-granskningsposter kan du söka efter aktiviteten Performed SharePoint search (Utförd SharePoinst-sökning) i listrutan Search activities (Sökaktiviteter) i sökverktyget för granskningsloggar i efterlevnadscentret.

Söka efter åtgärder för utförd SharePoint-sökning i sökverktyget för granskningsloggar.

Du kan också köra Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint i Exchange Online PowerShell.

Anteckning

Du måste aktivera loggen för SearchQueryInitiatedSharePoint så att du kan söka efter den här händelsen i granskningsloggen. Anvisningar finns i Konfigurera Avancerad granskning.

Andra Avancerade granskningshändelser i Microsoft 365

Förutom händelserna i Exchange Online och SharePoint Online finns det händelser i andra Microsoft 365 tjänster som loggas när användare tilldelas lämplig licensiering för Avancerad granskning. Följande Microsoft 365 tjänster tillhandahåller händelser för Avancerad granskning. Välj motsvarande länk för att gå till en artikel som identifierar och beskriver dessa händelser.

Åtkomst med hög bandbredd till Office 365 Management Activity-API

Organisationer som kommer åt granskningsloggar via Office 365 Management Activity-API:t har begränsats genom gränser på utgivarnivån. Det innebär att för utgivare som hämtar data åt flera kunders delades gränsen av alla dessa kunder.

I och med lanseringen av Avancerad granskning börjar vi använda en gräns på innehavarnivå i stället för på utgivarnivå. Det innebär att varje organisation får en egen tilldelad bandbreddskvot för åtkomst till sina granskningsdata. Bandbredden är inte en statisk, fördefinierad gräns men modelleras på en kombination av faktorer, bland annat antalet platser i organisationen och att E5/A5/G5-organisationer får mer bandbredd än icke-E5/A5/G5-organisationer.

Alla organisationer tilldelas inledningsvis en baslinje med 2 000 begäranden per minut. Den här gränsen ökar dynamiskt beroende på hur många licenser organisationen har och på licensprenumerationen. E5/A5/G5-organisationer får ungefär två gånger så mycket bandbredd som icke-E5/A5/G5-organisationer. Det kommer också att finnas ett tak för den maximala bandbredden för att skydda tjänstens hälsa.

Mer information finns i avsnittet om API-begränsning i referensen för Office 365 Management Activity-API.

Vanliga frågor och svar om Avancerad granskning

Behöver varje användare en E5/A5/G5-licens för att kunna dra nytta av Avancerad granskning?

För att kunna dra nytta av funktionerna i Avancerad granskning på användarnivå måste användaren ha tilldelats en E5/A5/G5-licens. En del funktioner kontrollerar om användaren har rätt licens innan funktionen visas för användaren. Om du till exempel försöker hämta granskningsposter för en användare som inte har tilldelats rätt licens i mer än 90 dagar returnerar systemet ett felmeddelande.

Min organisation har en E5/A5/G5-prenumeration. Behöver jag göra något för att få åtkomst till granskningsposter för händelser för Avancerad granskning?

För berättigade kunder och användare som tilldelats rätt E5/A5/G5-licens krävs ingen åtgärd för att få åtkomst till händelser för Avancerad granskning, förutom att aktivera händelser SearchQueryInitiatedExchange och SearchQueryInitiatedSharePoint (som tidigare beskrivits i den här artikeln). Händelser för Avancerad granskning genereras endast för användare med E5/A5/G5-licenser när dessa licenser har tilldelats.

Är de nya händelserna i Avancerad granskning tillgängliga i Office 365 Management Activity-API?

Ja. Så länge granskningsposterna skapas för användare med rätt licens kan du komma åt dessa poster via Office 365 Management Activity-API.

Vad händer med min organisations data för granskningsloggar om jag skapar en tioårig kvarhållningsprincip för granskningsloggar när funktionen var allmänt tillgänglig men innan den nödvändiga tilläggslicensen blev tillgänglig?

Alla granskningsloggdata som omfattas av den tioåriga kvarhållningsprincipen för granskningsloggar som du har skapat efter att funktionen blev allmänt tillgänglig i sista kvartalet 2020 bevaras i tio år. Detta omfattar de tioåriga kvarhållningsprinciperna för granskningsloggar som skapades innan den nödvändiga tilläggslicensen blev tillgänglig för köp i mars 2021. Men eftersom den tioåriga tilläggslicensen för kvarhållning av granskningsloggar nu är tillgänglig måste du köpa och tilldela dessa tilläggslicenser för alla användare vars granskningsdata omfattas av en tioårig kvarhållningsprincip för granskning.