Microsoft Purview 审核解决方案提供集成解决方案,以帮助组织有效响应安全事件、取证调查、内部调查和合规责任。 组织的统一审核日志可捕获、记录和保留数十个Microsoft服务和解决方案中执行的数千个用户和管理员作。 组织中的安全运营、IT 管理员、内部风险团队以及合规性和法律调查人员可以搜索这些事件的审核记录。 此功能提供在整个组织中执行的活动的可见性。
比较关键功能
下表比较了审核(标准)和审核(高级)中提供的关键功能。 审核 (高级版) 包括所有审核 (Standard) 功能。
功能
审核(标准)
审核(高级)
默认情况下启用
数千个可搜索的审核事件
Microsoft Purview 门户中的审核搜索工具
审核搜索图形 API
Search-UnifiedAuditLog cmdlet
将审核记录导出到 CSV 文件
通过 Office 365 管理活动 API 1 访问审核日志
180 天的审核日志保留期
最长 1 年的审核日志保留期
10 年审核日志保留期 2
审核日志保留策略
智能见解
注意
1 审核(高级)包括对 Office 365 管理活动 API 的更高带宽访问,可更快地访问审核数据。
2 除了下一部分) 中所述的审核 (高级版) (所需的许可外,还必须向用户分配 10 年审核日志保留附加许可证才能将其审核记录保留 10 年。
审核(标准)
Microsoft Purview 审核 (Standard) 允许记录和搜索审核活动,以支持取证、IT、合规性和法律调查。
默认情况下启用。 默认情况下,会为所有具有相应订阅的组织启用审核 (Standard) 。 该配置捕获并创建已审核活动的可搜索记录。 只需分配必要的权限即可访问审核日志搜索工具 (和相应的 cmdlet) ,并确保用户具有Microsoft Purview 审核 (Premium) 功能的正确许可证。
数以千计的可搜索审计事件。 可以搜索组织中大多数Microsoft服务中发生的各种已审核活动。 有关可搜索的活动的列表,请参阅 审核日志活动。 有关支持经审核活动的服务和功能的列表,请参阅 审核日志记录类型。
Microsoft Purview 门户中的审核搜索工具。 使用门户中的审核日志搜索工具搜索审核记录。 可以搜索特定活动、特定用户执行的活动以及日期范围内发生的活动。
审核搜索图形 API。 Microsoft Graph 提供统一的 API 终结点,用于在单个响应中访问来自多个Microsoft云服务的数据。
审核搜索图形 API允许你通过 Microsoft Graph 以编程方式访问审核搜索体验。
Search-UnifiedAuditLog cmdlet. 您也可以在 Exchange Online PowerShell(搜索工具的基础 cmdlet)中使用 Search-UnifiedAuditLog cmdlet 来搜索审核事件或在脚本中使用。 有关详细信息,请参阅:
Search-UnifiedAuditLog cmdlet 参考
使用 PowerShell 脚本搜索审核日志
将审核记录导出为 CSV 文件。 在 Microsoft Purview 门户中运行审核日志搜索工具后,可以将搜索返回的审核记录导出到 CSV 文件。 此过程允许使用 Microsoft Excel 对不同的审核记录属性进行排序和筛选。 还可使用 Excel Power Query 转换功能将 AuditData JSON 对象中的每个属性拆分为其自己的列。 此过程使你可以有效地查看和比较不同事件的类似数据。 有关详细信息,请参阅导出、配置和查看审核日志记录。
通过Office 365管理活动API访问审核日志。 用于访问和检索审核记录的第三种方法就是使用 Office 365 管理活动 API。 此方法允许组织将审核数据保留时间超过默认的 180 天,并允许将审核数据导入到 SIEM 解决方案。 有关详细信息,请参阅 Office 365 管理活动 API 参考。
180 天的审核日志保留期。 当用户或管理员执行审核活动时,系统会生成审核记录并将其存储在组织的审核日志中。 在“审核 (Standard) ”中,系统会将记录保留 180 天,这意味着你可以搜索过去六个月内发生的活动。
重要
审核 (Standard) 的默认保留期从 90 天更改为 180 天。 在 2023 年 10 月 17 日之前生成的审核 (Standard) 日志将保留 90 天。 审核 (Standard) 2023 年 10 月 17 日或之后生成的日志,遵循新的默认保留期 180 天。
审核(高级)
重要
经典搜索已于 2023 年 11 月 30 日停用。
新的搜索 包括增强功能,例如更快的搜索时间、其他搜索选项、保存搜索的功能等。
审核 (Premium) 通过提供审核日志保留策略、更长的审核记录保留期、高价值的智能见解和对Office 365管理活动 API 的更高带宽访问,以审核 (Standard) 的功能为基础。
审核日志保留策略。 创建自定义审核日志保留策略,以将审核记录保留更长时间, (最多保留 1 年,对于具有所需附加许可证) 的用户,最长保留 10 年。 创建一个策略,以基于发生审核活动的服务、特定的审核活动或执行审核活动的用户来保留审核记录。
审核记录被延长的保留。 Microsoft Entra ID、Exchange、OneDrive 和 SharePoint 审核记录默认保留一年。 默认情况下,所有其他活动的审核记录将保留 180 天,也可以使用审核日志保留策略来配置更长的保留期。
审核 (Premium) 智能见解。 智能见解的审核记录可以通过提供事件可见性来帮助组织进行取证和合规性调查,例如访问邮件项目的时间、邮件项目的回复和转发时间,或者用户在 Exchange Online 和 SharePoint Online 中搜索的时间和内容。 这些智能见解可帮助你调查可能的违规行为并确定入侵范围。
Office 365管理活动API的更高带宽。 审核(高级)为组织提供了更多的带宽来通过 Office 365 管理活动 API 访问审核日志。 尽管具有审核 (Standard) 或审核 (高级版) ) 的所有组织 (最初每分钟接收 2,000 个请求的基线,但此限制会动态增加,具体取决于组织的席位计数及其许可订阅。 此更改导致具有审核 (高级版的组织) 获得大约两倍于具有审核 (Standard) 的组织两倍的带宽。
长期保留审核日志
审核 (Premium) 将所有 Exchange、SharePoint 和Microsoft Entra审核记录保留一年。 此保留是通过默认审核日志保留策略实现的,该策略将包含 AzureActiveDirectory、 Exchange、 OneDrive 或 SharePoint 值的任何审核记录保留为 Workload 属性 (指示活动发生时间的服务) 一年。 将审核记录保留更长时间有助于正在进行的取证或合规性调查。 有关详细信息,请参阅“管理审核日志保留策略”中的“默认审核日志保留策略”。
除了审核 (Premium) 的一年保留功能外,我们还发布了将审核日志保留 10 年的功能。 保留审核日志 10 年有助于对长期调查提供支持,并对监管、法律和内部义务作出响应。
注意
将审核日志保留 10 年需要额外的每用户附加许可证。 将此许可证分配给用户并为该用户设置适当的 10 年审核日志保留策略后,该策略涵盖的审核日志将开始保留 10 年。 此策略不具有追溯性,并且无法保留创建 10 年审核日志保留策略之前生成的审核日志。
审核日志保留策略
其他服务生成且默认审核日志保留策略未涵盖的所有审核记录将保留 180 天。 可以创建自定义审核日志保留策略,将其他审核记录保留更长时间(最长为 10 年)。 可基于下列一个或多个条件创建保留审核记录的策略:
发生审核活动的Microsoft服务。
特定的审核活动。
执行审核活动的用户。
重要
审核 (Standard) 的默认保留期从 90 天更改为 180 天。 在 2023 年 10 月 17 日之前生成的审核 (Standard) 日志将保留 90 天。 审核 (Standard) 2023 年 10 月 17 日或之后生成的日志,遵循新的默认保留期 180 天。
还可以指定保留与策略和优先级匹配的审核记录的时长,以便特定策略优先于其他策略。 如果需要将 Exchange、SharePoint 或 Azure Active Directory 审核记录保留不到一年或组织中部分或所有用户保留 10 年,则任何自定义审核日志保留策略都优先于默认审核保留策略。 有关详细信息,请参阅管理审核日志保留策略。
重要
数据的审核项生存期是在审核管道添加数据时确定的,并且基于许可默认值或适用的保留策略。 对许可或适用保留策略的任何更改会更改更新后的审核数据的过期时间。 这些更改不会影响任何以前提交的项。
审核 (Premium) 活动属性
审核 (Premium) 通过提供对重要事件(例如用户访问邮件项目、答复和转发邮件项目以及在 Exchange Online 和 SharePoint Online 中搜索)的访问权限来帮助组织进行取证和合规性调查。 这些事件可帮助你调查可能的违规,并确定泄露的范围。 除了 Exchange 和 SharePoint 中的这些事件外,其他Microsoft服务还包括需要向用户分配 适当的审核 (Premium) 许可证的重要事件。 向用户分配审核 (Premium) 许可证,以便系统在执行这些事件时生成审核日志。
这些活动要求你为用户分配 相应的审核 (Premium) 许可证。 向用户分配审核 (Premium) 许可证,以便系统在用户执行这些活动和属性时生成审核日志。
审核 (Premium) 提供对以下活动属性的访问权限:
Exchange Online
活动
属性
MailItemsAccessed
敏感度标签
Microsoft Teams
活动
属性
ChatCreated
AppAccessContext
ChatRetrieved
AppAccessContext
ChatUpdated
AppAccessContext
MeetingParticipantDetail
IsJoinedFromLobby ArtifactShared
MessageCreatedNotification
AppAccessContext
MessageDeletedNotification
AppAccessContext
MessageHostedContentsListed
AppAccessContext
MessageHostedContentRead
AppAccessContext
MessagesListed
AppAccessContext
MessageRead
AppAccessContext
MessageSent
AppAccessContext ParticipatingDomainInformation ParticipantInfo
MessageUpdated
ParticipantInfo AppAccessContext
MessageUpdatedNotification
AppAccessContext
SubscribedToMessages
AppAccessContext
高带宽访问 Office 365 管理活动 API
通过Office 365管理活动 API 访问审核日志的组织在发布者级别面临限制。 此限制意味着,如果发布者为多个客户拉取了数据,则所有这些客户共享相同的限制。
使用 Audit (Premium) ,此限制已从发布者级别限制更改为租户级别限制。 现在,每个组织都会获得自己完全分配的带宽配额来访问其审核数据。 带宽不是静态的预定义限制。 相反,它以多种因素(包括组织中的席位数)为模型。 E5、A5 和 G5 组织比非 E5、非 A5 和非 G5 组织获得更多带宽。
所有组织最初都会获得每分钟 2,000 个请求的基线。 此限制会根据组织的席位计数和许可订阅动态增加。 E5、A5 和 G5 组织的带宽大约是非 E5、非 A5 和非 G5 组织的两倍。 最大带宽上限可保护服务的运行状况。
有关详细信息,请参阅Office 365管理活动 API 参考中的 API限制部分。
许可要求
在开始之前,请查看审核 (Standard) 和审核 (高级) 的订阅要求。
培训
培训安全运营团队、IT 管理员和合规性调查人员,了解审核 (Standard) 和审核 (Premium) 的基础知识,可帮助组织使用审核更快地开始调查。 Microsoft Purview 提供以下资源来帮助组织中的这些用户开始审核: 描述 Microsoft Purview 的电子数据展示和审核功能。