Microsoft Purview 中的稽核解決方案

注意

Microsoft 365合規性現在稱為 Microsoft Purview,且合規性區域內的解決方案已重新命名。 如需 Microsoft Purview 的詳細資訊,請參閱 部落格公告

Microsoft Purview 稽核解決方案提供了整合式解決方案,可協助組織有效地回應安全性事件、鑑識調查、內部調查和合規性義務。 在數十個 Microsoft 365 服務和解決方案中執行的數千個使用者和管理作業被擷取、記錄並保留在組織的整合稽核記錄中。 這些事件的稽核記錄可由組織中的安全性操作員、IT 管理員、內部風險小組以及合規性和法律調查人員進行搜尋。 此功能提供了對跨 Microsoft 365 組織執行的活動的可見度。

Microsoft Purview 稽核解決方案

Microsoft Purview 提供兩種稽核解決方案: 稽核 (標準版) 和稽核 (進階版)。

稽核 (標準版) 和稽核 (進階版) 的主要功能。

稽核 (標準版)

Microsoft Purview 稽核 (基本版) 提供了記錄和搜尋已稽核活動的功能,並協助您的鑑識、IT、合規性和法律調查。

  • 預設啟用。 根據預設,所有具有相應訂閱的組織都會啟用稽核 (基本版)。 這意味著已稽核活動的記錄將被擷取和可搜尋。 唯一需要的設定是指派存取稽核記錄搜尋工具 (和相應的 cmdlet) 所需的授權,並確定為使用者指派了 Microsoft Purview 稽核 (進階版) 功能的正確權限。

  • 數千個可搜尋的稽核事件。 您可以搜尋範圍廣泛、發生在貴組織中的大多數 Microsoft 365 服務中的已稽核活動。 有關您可以搜尋的活動之部分清單,請參閱已稽核活動。 有關支援已稽核活動的服務和功能的清單,請參閱稽核記錄的記錄類型

  • Microsoft Purview 合規性入口網站中的稽核記錄搜尋工具。 使用合規性入口網站中的稽核記錄搜尋工具來搜尋稽核記錄。 您可以搜尋特定活動、特定使用者執行的活動以及日期範圍內發生的活動。 以下是合規性中心稽核搜尋工具的螢幕擷取畫面。

    合規性入口網站中的稽核記錄搜尋工具。

  • Search-UnifiedAuditLog cmdlet。您還可以在 Exchange Online PowerShell (搜尋工具的基礎 cmdlet) 中使用 Search-UnifiedAuditLog cmdlet 來搜尋稽核事件或在指令碼中使用。如需詳細資訊,請參閱:

  • 將稽核記錄匯出至 CSV 檔案。 在合規性入口網站執行稽核記錄搜尋工具後,可以將搜尋返回的稽核記錄匯出至 CSV 檔案。 這可讓您對不同的稽核記錄屬性使用 Microsoft Excel 排序和篩選。 您還可以使用 Excel Power Query 轉換功能將 AuditData JSON 物件中的每個屬性分割至其資料行。 這可讓您有效地檢視和比較不同事件的類似資料。 如需詳細資訊,請參閱匯出、設定及檢視稽核記錄檔的記錄

  • 透過 Office 365 管理活動 API 存取稽核記錄。 存取和擷取稽核記錄的第三種方法是使用 Office 365 管理活動 API。 這使得組織保留稽核資料的時間長於預設的 90 天,並可讓它們將稽核資料匯入至 SIEM 解決方案。 如需詳細資訊,請參閱 Office 365 管理活動 API 參考

  • 90 天稽核記錄保留。 當使用者或系統管理員執行稽核的活動時,稽核記錄會隨即產生,並儲存在您組織的稽核記錄中。 在稽核 (基本版) 中記錄將保留 90 天,這意味著您可以搜尋過去三個月內發生的活動。

稽核 (進階版)

稽核 (進階版) 提升了基本稽核功能,提供稽核記錄保留原則、更長的稽核記錄保留期、高價值重要事件以及對 Office 365 管理活動 API 的更高頻寬存取。

  • 稽核記錄保留原則。 您可以建立自訂稽核記錄保留原則,以將稽核記錄保留更長的時間,上限為一年 (對於具有所需附加元件授權的使用者,上限為 10 年)。 您可以建立原則,保留根據發生稽核活動的服務、特定稽核活動或執行稽核活動的使用者之稽核記錄。

  • 稽核記錄的較長保留期。 根據預設,Exchange、SharePoint 和 Azure Active Directory 稽核記錄保留一年。 根據預設,所有其他活動的稽核記錄保留 90 天,或者您可以使用稽核記錄保留原則設定更長的保留期。

  • 高價值、關鍵的稽核 (進階版) 事件。關鍵事件的稽核記錄會提供您事件的能見度 (例如如何時存取郵件項目、何時回覆和轉寄郵件項目,及使用者何時搜尋 Exchange Online 和 SharePoint Online 中的內容),來幫助組織進行鑑識及合規性調查。這些關鍵事件可協助您調查可能的缺口,並判斷危害的範圍。

  • Office 365 管理活動 API 的更高頻寬。 稽核 (進階版) 透過 Office 365 管理活動 API 為組織提供了更多的頻寬以存取稽核記錄。 儘管所有組織 (具有稽核 (基本版) 或稽核 (進階版)) 最初配置的基準為每分鐘 2,000 個要求,但此限制將根據組織的基座數及其授權訂閱動態增加。 這導致使用稽核 (進階版) 的組織取得的頻寬是使用稽核 (基本版) 組織的兩倍。

如需稽核 (進階版) 功能的詳細資訊,請參閱 Microsoft 365 中的稽核 (進階版)

主要功能比較

下表比較稽核 (標準版) 和稽核 (進階版) 中提供的主要功能。 所有稽核 (標準版) 功能都包含在稽核 (進階版) 中。

功能 稽核 (標準版) 稽核 (進階版)
預設啟用 支援。 支援。
數千個可搜尋的稽核事件 支援。 支援。
合規性入口網站中的稽核搜尋工具 支援。 支援。
Search-UnifiedAuditLog cmdlet 支援。 支援。
將稽核記錄匯出至 CSV 檔案 支援。 支援。
透過 Office 365 管理活動 API 存取稽核記錄 1 支援。 支援。
90 天稽核記錄保留 支援。 支援。
1 年稽核記錄保留 支援。
10 年稽核記錄保留 2 支援
稽核記錄保留原則 支援
高值,重要事件 支援

注意

1 稽核 (進階版) 包括對 Office 365 管理活動 API 的更高頻寬存取,提供對稽核資料的更快存取。
2 除了稽核 (進階版) 所需的權限 (在下一節中介紹) 之外,還必須為使用者指派 10 年稽核記錄保留附加元件授權,以將其稽核記錄保留 10 年。

授權需求

下列各節識別稽核 (標準版) 和稽核 (進階版) 的授權需求。 稽核 (標準版) 功能包含在稽核 (進階版) 中。

稽核 (標準版)

  • Microsoft 商務基本版訂閱
  • Microsoft 365 Apps 商務版訂閱
  • Microsoft 365 企業版 E3 訂閱
  • Microsoft 365 商務進階版
  • Microsoft 365 教育版 A3 訂閱
  • Microsoft 365 政府版 G3 訂閱
  • Microsoft 365 政府版 G1 訂閱
  • Microsoft 365 Frontline F1 或 F3 訂閱或 F5 安全性附加元件
  • Office 365 企業版 E3 訂閲
  • Office 365 企業版 E1 訂閲
  • Office 365 教育版 A1 訂閱
  • Office 365 教育版 A3 訂閲

稽核 (進階版)

  • Microsoft 365 企業版 E5 訂閱
  • Microsoft 365 企業版 E3 訂閱 + Microsoft 365 E5 合規性附加元件
  • Microsoft 365 企業版 E3 訂閱 + Microsoft 365 E5 電子文件探索和稽核附加元件
  • Microsoft 365 教育版 A5 訂閱
  • Microsoft 365 教育版 A3 訂閱 + Microsoft 365 A5 合規性附加元件
  • Microsoft 365 教育版 A3 訂閱 + Microsoft 365 A5 電子文件探索和稽核附加元件
  • Microsoft 365 政府版 G5 訂閱
  • Microsoft 365 政府版 G3 訂閱 + Microsoft 365 G5 合規性附加元件
  • Microsoft 365 政府版 G3 訂閱 + Microsoft 365 G5 電子文件探索和稽核附加元件
  • Microsoft 365 Frontline F5 合規性或 F5 安全性 & 合規性附加元件
  • Office 365 企業版 E5 訂閱
  • Office 365 教育版 A5 訂閲

設定 Microsoft Purview 稽核解決方案

要開始使用 Microsoft Purview 中的稽核解決方案,請參閱以下設定指引。

設定稽核 (標準版)

第一步是設定稽核 (基本版),然後開始執行稽核記錄搜尋。

設定稽核 (標準版) 的工作流程。

  1. 請驗證貴組織是否具有支援稽核 (基本版) 的訂閱,以及是否具有支援稽核 (進階版) 的訂閱 (若適用)。

  2. 將 Exchange Online 中的權限指派給貴組織中將使用合規性入口網站稽核記錄搜尋工具或 Search-UnifiedAuditLog cmdlet 的人員。 特別是必須在 Exchange Online 中為使用者指派 [僅供檢視稽核記錄] 或 [稽核記錄角色]。

  3. 搜尋稽核記錄。完成步驟 1 和步驟 2 後,貴組織中的使用者可以使用稽核記錄搜尋工具 (或相應的 cmdlet) 搜尋已稽核活動。

如需詳細指示,請參閱設定稽核 (標準版)

設定稽核 (進階版)

如果貴組織具有支援稽核 (進階版) 的訂閱,請執行以下步驟以設定和使用稽核 (進階版) 中的其他功能。

設定稽核 (進階版) 的工作流程。

  1. 為使用者設定稽核 (進階版)。 此步驟包括以下工作:

    • 驗證是否為使用者指派了稽核 (進階版) 的適當權限或附加元件權限。

    • 必須為這些使用者啟用稽核 (進階版) 應用程式/服務方案。

    • 啟用重要事件的稽核,然後為這些使用者啟用稽核 (進階版) 應用程式/服務方案。

  2. 當使用者在 Exchange Online 和 SharePoint Online 中執行搜尋時,啟用 [稽核 (進階版)] 事件的記錄。

  3. 設定稽核記錄保留原則。除了保留 Exchange、SharePoint 和 Azure AD 稽核記錄一年的預設原則之外,您還可以建立其他稽核記錄保留原則,以符合貴組織的安全性作業、IT 和合規性小組的需求。

  4. 在進行鑑識調查時,搜尋關鍵 [稽核 (進階版)] 事件和其他活動。在完成步驟 1 和步驟 2 後,您可以搜尋 [稽核 (進階版) ] 事件和對遭入侵帳戶的鑑識調查,以及其他類型安全性或合規性調查期間的其他活動稽核記錄。

如需詳細指示,請參閱設定稽核 (進階版)

訓練

訓練安全性作業小組、IT 管理員和合規性調查人員小組稽核 (基本版) 和稽核 (進階版) 的基礎内容,可協助貴組織更快開始使用稽核來進行調查。 Microsoft Purview 提供以下資源以協助組織中的這些使用者開始使用稽核:描述 Microsoft Purview 中的電子文件探索及稽核功能