Granskningslösningar i Microsoft 365Auditing solutions in Microsoft 365

Granskningslösningar i Microsoft 365 tillhandahåller en integrerad lösning som hjälper organisationer att effektivt svara på säkerhetshändelser, undersökningar, interna undersökningar och efterlevnadsåtaganden.Microsoft 365 auditing solutions provide an integrated solution to help organizations effectively respond to security events, forensic investigations, internal investigations, and compliance obligations. Tusentals användar- och administratörsåtgärder som utförs i dussintals Microsoft 365-tjänster och -lösningar spelas i, registreras och behålls i organisationens enhetliga granskningslogg.Thousands of user and admin operations performed in dozens of Microsoft 365 services and solutions are captured, recorded, and retained in your organization's unified audit log. Granskningsposterna för de här händelserna är sökbara i säkerhets ops, IT-administratörer, insider-riskteam samt efterlevnad och juridiska krav i organisationen.Audit records for these events are searchable by security ops, IT admins, insider risk teams, and compliance and legal investigators in your organization. Den här funktionen ger insyn i de aktiviteter som utförs i Microsoft 365-organisationen.This capability provides visibility into the activities performed across your Microsoft 365 organization.

Microsoft 365-granskningslösningarMicrosoft 365 auditing solutions

I Microsoft 365 finns två granskningslösningar: Grundläggande granskning och Avancerad granskning.Microsoft 365 provides two auditing solutions: Basic Audit and Advanced Audit.

Viktiga funktioner för Grundläggande granskning och Avancerad granskning

Grundläggande granskningBasic Audit

Med Grundläggande granskning kan du logga och söka efter granskade aktiviteter och utföra dina granskningar, IT-, efterlevnads- och juridiska undersökningar.Basic Audit provides with you with the ability to log and search for audited activities and power your forensic, IT, compliance, and legal investigations.

  • Aktiverad som standard.Enabled by default. Grundläggande granskning är aktiverat som standard för alla organisationer med rätt abonnemang.Basic Audit is turned on by default for all organizations with the appropriate subscription. Det innebär att poster för granskade aktiviteter förs in och är sökbara.That means records for audited activities will be captured and searchable. Den enda konfiguration som krävs är att tilldela nödvändiga behörigheter för att få åtkomst till granskningsloggens sökverktyg (och motsvarande cmdlet) och kontrollera att användaren har tilldelats rätt licens för avancerade granskningsfunktioner.The only setup that required is to assign the necessary permissions to access the audit log search tool (and the corresponding cmdlet) and make sure that user's are assigned the right license for Advanced Audit features.

  • Tusentals sökbara granskningshändelser.Thousands of searchable audit events. Du kan söka efter en rad granskade aktiviteter som inträffar i de flesta Microsoft 365-tjänsterna i din organisation.You can search for a wide-range of audited activities that occur is most of the Microsoft 365 services in your organization. En del av en lista över de aktiviteter du kan söka efter finns i Granskade aktiviteter.For a partial list of the activities you can search for, see Audited activities. En lista över tjänster och funktioner som stöder granskade aktiviteter finns i Granskningslogg record type.For a list of the services and features that support audited activities, see Audit log record type.

  • Verktyg för granskningssökning i Microsoft 365 Efterlevnadscenter.Audit search tool in the Microsoft 365 compliance center. Använd verktyget Sökning i granskningslogg i Microsoft 365 Efterlevnadscenter för att söka efter granskningsposter.Use the Audit log search tool in the Microsoft 365 compliance center to search for audit records. Du kan söka efter specifika aktiviteter, efter aktiviteter som utförts av specifika användare och aktiviteter som inträffat med ett datumintervall.You can search for specific activities, for activities performed by specific users, and activities that occurred with a date range. Här är en skärmbild av verktyget för granskningssökning i efterlevnadscentret.Here's a screenshot of the Audit search tool in the compliance center.

    Verktyg för Sökning i granskningslogg i Microsoft 365 Efterlevnadscenter.

  • Search-UnifiedAuditLog cmdlet.Search-UnifiedAuditLog cmdlet. Du kan också använda cmdleten Search-UnifiedAuditLog i Exchange Online PowerShell (den underliggande cmdleten för sökverktyget) för att söka efter granskningshändelser eller använda i ett skript.You can also use the Search-UnifiedAuditLog cmdlet in Exchange Online PowerShell (the underlying cmdlet for the search tool) to search for audit events or to use in a script. Mer information finns i:For more information, see:

  • Exportera granskningsposter till en CSV-.Export audit records to a CSV file. När du har kört verktyget Sökning i granskningslogg* i efterlevnadscentret kan du exportera granskningsposterna som returneras av sökningen till en CSV-fil.After running the Audit log search tool in the compliance center, you can export the audit records returned by the search to a CSV file. Då kan du använda Microsoft Excel för att sortera och filtrera på olika egenskaper för granskningsposterna.This lets you use Microsoft Excel sort and filter on different audit record properties. Du kan också använda transformeringsfunktionen i Excel Power Query för att dela upp varje egenskap i AuditData JSON-objektet i en egen kolumn.You can also use Excel Power Query transform functionality to split each property in the AuditData JSON object into its own column. På så sätt kan du visa och jämföra liknande data för olika händelser.This lets you effectively view and compare similar data for different events. Mer information finns i Exportera, konfigurera och visa granskningsloggposter.For more information, see Export, configure, and view audit log records.

  • Åtkomst till granskningsloggar via Office 365 Management Activity-API.Access to audit logs via Office 365 Management Activity API. En tredje metod för att komma åt och hämta granskningsposter är att använda Office 365 Management Activity API.A third method for accessing and retrieving audit records is to use the Office 365 Management Activity API. Det innebär att organisationen kan behålla granskningsdata under längre perioder än standardvärdena på 90 dagar och importera sina granskningsdata till en SIEM-lösning.This lets organizations retain auditing data for longer periods than the default 90 days and lets them import their auditing data to a SIEM solution. Mer information finns i referensen för Office 365 Management Activity-API.For more information, see Office 365 Management Activity API reference.

  • 90 dagar-kvarhållning för granskningsloggar.90-day audit log retention. När en granskad aktivitet utförs av en användare eller administratör skapas en granskningspost som lagras i granskningsloggen för organisationen.When an audited activity is performed by a user or admin, an audit record is generated and stored in the audit log for your organization. I Grundläggande granskning behålls poster i 90 dagar, vilket innebär att du kan söka efter aktiviteter som inträffat under de senaste tre månaderna.In Basic Audit, records are retained for 90 days, which means you can search for activities that occurred within the past three months.

Avancerad granskningAdvanced Audit

Avancerad granskning bygger på funktionerna i Grundläggande granskning genom att tillhandahålla kvarhållningsprinciper för granskningsloggar, längre kvarhållning av granskningsposter, viktiga händelser med hög värde och högre bandbreddsåtkomst till Office 365 Management Activity-API.Advanced Audit builds on the capabilities of Basic Audit by providing audit log retention policies, longer retention of audit records, high-value crucial events, and higher bandwidth access to the Office 365 Management Activity API.

  • Kvarhållningsprinciper för granskningsloggar.Audit log retention policies. Du kan skapa anpassade kvarhållningsprinciper för granskningsloggar om du vill bevara andra granskningsposter under en längre period upp till ett år (och upp till tio år för användare med obligatorisk tilläggslicens).You can create customized audit log retention policies to retain audit records for longer periods of time up to one year (and up to 10 years for users with required add-on license). Du kan skapa en princip om du vill behålla granskningsposter baserat på tjänsten där de granskade aktiviteterna inträffar, specifika granskade aktiviteter eller användaren som utför en granskad aktivitet.You can create a policy to retain audit records based the service where the audited activities occur, specific audited activities, or the user who performs an audited activity.

  • Längre kvarhållning av granskningsposter.Longer retention of audit records. Granskningsposter för Exchange, SharePoint och Azure Active Directory bevaras som standard i ett år.Exchange, SharePoint, and Azure Active Directory audit records are retained for one year by default. Granskningsposter för alla andra aktiviteter behålls som standard i 90 dagar. Du kan också använda kvarhållningsprinciper för granskningsloggar för att konfigurera längre kvarhållningsperioder.Audit records for all other activities are retained for 90 days by default, or you can use audit log retention policies to configure longer retention periods.

  • Avgörande händelser med högt värde..High-value, crucial events. Granskningsposter för avgörande händelser ka hjälpa organisationer att utföra tekniska undersökningar och efterlevnadsundersökningar genom att ge synlighet till viktiga händelser som när e-postobjekt har använts, besvarats och vidarebefordrats eller när och vad en användare har sökt efter i Exchange Online och SharePoint Online.Audit records for crucial events can help your organization conduct forensic and compliance investigations by providing visibility to events such as when mail items were accessed, or when mail items were replied to and forwarded, or when and what a user searched for in Exchange Online and SharePoint Online. De här viktiga händelserna kan hjälpa dig att undersöka möjliga intrång och avgöra intrångets omfattning.These crucial events can help you investigate possible breaches and determine the scope of compromise.

  • Högre bandbredd till Office 365 Management Activity-API.Higher bandwidth to the Office 365 Management Activity API. Avancerad granskning ger organisationer mer bandbredd för åtkomst till granskningsloggar via Office 365 Management Activity API.Advanced Audit provides organizations with more bandwidth to access auditing logs through the Office 365 Management Activity API. Även om alla organisationer (som har Grundläggande granskning eller Avancerad granskning) till en början har tilldelats en baslinje med 2 000 förfrågningar per minut, ökar den här gränsen dynamiskt beroende på antalet användare i organisationen och deras licensprenumeration.Although all organizations (that have Basic Audit or Advanced Audit) are initially allocated a baseline of 2,000 requests per minute, this limit will dynamically increase depending on an organization's seat count and their licensing subscription. Det leder till att organisationer med Avancerad granskning får två gånger så mycket bandbredd som organisationer med Grundläggande granskning.This results in organizations with Advanced Audit getting about twice the bandwidth as organizations with Basic Audit.

Mer information om avancerade granskningsfunktioner finns i Avancerad granskning i Microsoft 365.For more detailed information about Advanced Audit features, see Advanced Audit in Microsoft 365.

Jämförelse av viktiga funktionerComparison of key capabilities

I följande tabell jämförs de viktigaste funktionerna i Grundläggande granskning och Avancerad granskning.The following table compares the key capabilities available in Basic Audit and Advanced Audit. Alla grundläggande granskningsfunktioner ingår i Avancerad granskning.All Basic Audit functionality is included in Advanced Audit.

FunktionCapability Grundläggande granskningBasic Audit Avancerad granskningAdvanced Audit
Aktiverad som standardEnabled by default Stöds Stöds
Tusentals sökbara granskningshändelserThousands of searchable audit events Stöds Stöds
Verktyg för granskningssökning i Microsoft 365 Efterlevnadscenter Audit search tool in the Microsoft 365 compliance center Stöds Stöds
Search-UnifiedAuditLog cmdletSearch-UnifiedAuditLog cmdlet Stöds Stöds
Exportera granskningsposter till en CSV-filExport audit records to CSV file Stöds Stöds
Åtkomst till granskningsloggar via Office 365 Management Activity-API 1Access to audit logs via Office 365 Management Activity API 1 Stöds StödsSupported
90 dagar-kvarhållning för granskningsloggar90-day audit log retention Stöds Stöds
1 år-kvarhållning för granskningsloggar1-year audit log retention Stöds
10 år-kvarhållning för granskningsloggar 210-year audit log retention 2 Stöds
Kvarhållningsprinciper för granskningsloggarAudit log retention policies Stöds
Avgörande händelser med högt värdeHigh-value, crucial events Stöds

Anteckning

1 Avancerad granskning ger högre bandbreddsåtkomst till Office 365 Management Activity API, som ger snabbare åtkomst till granskningsdata.1 Advanced Audit includes higher bandwidth access to the Office 365 Management Activity API, which provides faster access to audit data.
2 Utöver den licensiering som krävs för avancerad granskning (som beskrivs i nästa avsnitt) måste en användare tilldelas en licens för 10 års granskningslogglagring för att behålla sina granskningsposter i 10 år.2 In addition to the required licensing for Advanced Audit (described in the next section), a user must be assigned a 10-Year Audit Log Retention add on license to retain their audit records for 10 years.

LicensieringskravLicensing requirements

I följande avsnitt identifieras licenseringskraven för Grundläggande granskning och Avancerad granskning.The following sections identify the licensing requirements for Basic Audit and Advanced Audit. Grundläggande granskningsfunktioner ingår i Avancerad granskning.Basic Audit functionality is included with Advanced Auditing.

Grundläggande granskningBasic Audit

  • Microsoft 365 Enterprise E3-abonnemangMicrosoft 365 Enterprise E3 subscription
  • Microsoft 365 Business PremiumMicrosoft 365 Business Premium
  • Microsoft 365 Education A3-abonnemangMicrosoft 365 Education A3 subscription
  • Microsoft 365 för myndigheter G3--abonnemangMicrosoft 365 Government G3 subscription
  • Microsoft 365 för myndigheter G1--abonnemangMicrosoft 365 Government G1 subscription
  • Office 365 Enterprise E3--abonnemangOffice 365 Enterprise E3 subscription
  • Office 365 Enterprise E1--abonnemangOffice 365 Enterprise E1 subscription
  • Office 365 Education A1-abonnemangOffice 365 Education A1 subscription
  • Office 365 Education A3-abonnemangOffice 365 Education A3 subscription

Avancerad granskningAdvanced Audit

  • Microsoft 365 Enterprise E5-abonnemangMicrosoft 365 Enterprise E5 subscription
  • Microsoft 365 Enterprise E3-abonnemang + Microsoft 365 E5 Compliance-tillägg.Microsoft 365 Enterprise E3 subscription + the Microsoft 365 E5 Compliance add-on
  • Microsoft 365 Enterprise E3-abonnemang + Microsoft 365 E5 eDiscovery and Audit-tillägg.Microsoft 365 Enterprise E3 subscription + the Microsoft 365 E5 eDiscovery and Audit add-on
  • Microsoft 365 Education A5-abonnemangMicrosoft 365 Education A5 subscription
  • Microsoft 365 Education A3-abonnemang + Microsoft 365 A5 Compliance-tillägg.Microsoft 365 Education A3 subscription + the Microsoft 365 A5 Compliance add-on
  • Microsoft 365 Education A3-abonnemang + Microsoft 365 A5 eDiscovery and Audit-tillägg.Microsoft 365 Education A3 subscription + the Microsoft 365 A5 eDiscovery and Audit add-on
  • Microsoft 365 för myndigheter G5--abonnemangMicrosoft 365 Government G5 subscription
  • Microsoft 365 för myndigheter G5-abonnemang + Microsoft 365 G5 Compliance-tillägg.Microsoft 365 Government G5 subscription + the Microsoft 365 G5 Compliance add-on
  • Microsoft 365 för myndigheter G5-abonnemang + Microsoft 365 G5 eDiscovery and Audit-tillägg.Microsoft 365 Government G5 subscription + the Microsoft 365 G5 eDiscovery and Audit add-on
  • Office 365 Enterprise E5-abonnemangOffice 365 Enterprise E5 subscription
  • Office 365 Education A5-abonnemangOffice 365 Education A5 subscription
  • Office 365 Enterprise, E3-abonnemang + Office 365 Advanced Compliance-tillägg (inte längre tillgängligt för nya abonnemang)Office 365 Enterprise E3 subscription + the Office 365 Advanced Compliance add-on (no longer available for new subscriptions)

Konfigurera Microsoft 365-granskningslösningarSet up Microsoft 365 auditing solutions

Läs följande riktlinjer för konfiguration för att komma igång med granskningslösningarna i Microsoft 365.To get started using the auditing solutions in Microsoft 365, see the following setup guidance.

Konfigurera Grundläggande granskningSet up Basic Audit

Det första steget är att konfigurera Grundläggande granskning och sedan börja köra granskningsloggsökningar.The first step is to set up Basic Audit and then start running audit log searches.

Arbetsflöde för att konfigurera Avancerad granskning för användare

  1. Kontrollera att organisationen har ett abonnemang som har stöd för Grundläggande granskning och, om tillämpligt, ett abonnemang som har stöd för Avancerad granskning.Verify that your organization has a subscription that supports Basic Audit and if applicable, a subscription that supports Advanced Audit.

  2. Tilldela behörigheter i Exchange Online till personer i organisationen som använder verktyget för granskningsloggsökning i Microsoft 365 Efterlevnadscenter eller använd cmdleten Search-UnifiedAuditLog.Assign permissions in Exchange Online to people in your organization who will use the audit log search tool in the Microsoft 365 compliance center or use the Search-UnifiedAuditLog cmdlet. Mer specifikt måste användare ha tilldelats rollen Skrivskyddade granskningsloggar eller Granskningsloggar i Exchange Online.Specifically, users must be assigned the View-Only Audit Logs or Audit Logs role in Exchange Online.

  3. Söka i granskningsloggen. När du har slutfört steg 1 och steg 2 kan användare i organisationen använda verktyget för granskningsloggsökning (eller motsvarande cmdlet) för att söka efter granskade aktiviteter.Search the audit log. After completing step 1 and step 2, users in your organization can use the audit log search tool (or corresponding cmdlet) to search for audited activities.

Se Konfigurera Grundläggande granskning för mer detaljerade instruktioner.For more detailed instructions, see Set up Basic Audit.

Konfigurera Avancerad granskningSet up Advanced Audit

Om organisationen har ett abonnemang som har stöd för avancerad granskning utför du stegen nedan för att konfigurera och använda de ytterligare funktionerna i Avancerad granskning.If your organization has a subscription that supports Advanced Audit, perform the following steps to set up and use the additional capabilities in Advanced Audit.

Arbetsflöde för att konfigurera Avancerad granskning för användare

  1. Konfigurera Avancerad granskning för användare.Set up Advanced Audit for users. Det här steget består av följande uppgifter:This step consists of the following tasks:

    • Verifiera att användarna har tilldelats rätt licens eller tilläggslicens för Avancerad granskning.Verifying that users are assigned the appropriate license or add-on license for Advanced Audit.

    • Appen/tjänstplanen Advanced Auditing måste vara aktiverad för dessa användare.Turning on the Advanced Audit app/service plan must be for those users.

    • Aktivera granskning av viktiga händelser och sedan aktivera app-/tjänstplanen för avancerad granskning för dessa användare.Enabling the auditing of crucial events and then turning on the Advanced Auditing app/service plan for those users.

  2. Aktivera viktiga händelser som ska loggas när användare utför sökningar i Exchange Online och SharePoint Online.Enable crucial events to be logged when users perform searches in Exchange Online and SharePoint Online.

  3. Konfigurera kvarhållningsprinciper för granskningsloggar. Utöver standardprincipen som behåller granskningsposter för Exchange, SharePoint och Azure AD i ett år kan du skapa ytterligare kvarhållningsprinciper för granskningsloggar så att de uppfyller kraven för organisationens säkerhetsåtgärder, IT- och efterlevnadsgrupper.Set up audit log retention policies. In additional to the default policy that retains Exchange, SharePoint, and Azure AD audit records for one year, you can create additional audit log retention policies to meet the requirements of your organization's security operations, IT, and compliance teams.

  4. Sök efter viktiga händelser och andra aktiviteter när du genomför undersökningar. När du har slutfört steg 1 och steg 2 kan du söka i granskningsloggen efter viktiga händelser och andra aktiviteter under undersökningar av nedsatt säkerhet och andra typer av säkerhets- eller efterlevnadsundersökningar.Search for crucial events and other activities when conducting forensic investigations. After completing step 1 and step 2, you can search the audit log for crucial events and other activities during forensic investigations of compromised accounts and other types of security or compliance investigations.

Se Konfigurera Avancerad granskning för mer detaljerade instruktioner.For more detailed instructions, see Set up Advanced Audit.

UtbildningTraining

Genom att utbilda teamet, IT-administratörer och efterlevnadsteamet i Grundläggande granskning och Avancerad granskning kan organisationen komma igång snabbare med granskning, med hjälp av undersökningar.Training your security operations team, IT administrators, and compliance investigators team in Basic Audit and Advanced Audit can help your organization get started more quickly using auditing to help with your investigations. Microsoft 365 innehåller följande resurs som hjälper användarna i organisationen att komma igång med granskning: Describe the audit capabilities in Microsoft 365.Microsoft 365 provides the following resource to help these users in your organization getting started with auditing: Describe the audit capabilities in Microsoft 365.