Informazioni sulle soluzioni di controllo in Microsoft Purview
Le soluzioni di controllo di Microsoft Purview rappresentano una soluzione integrata per aiutare le organizzazioni a rispondere in modo efficace a eventi di sicurezza, indagini forensi, indagini interne e obblighi di conformità. Migliaia di operazioni utente e amministratore eseguite in decine di servizi e soluzioni Microsoft vengono acquisite, registrate e conservate nel log di controllo unificato dell'organizzazione. I record di controllo di questi eventi possono essere ricercati da operazioni di sicurezza, amministratori IT, team di rischio Insider e investigatori legali e di conformità della tua organizzazione. Questa funzionalità offre visibilità sulle attività eseguite nell'organizzazione.
Consiglio
Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.
Confronto tra funzionalità chiave
La tabella seguente contiene un confronto delle funzionalità principali disponibili in Audit (Standard) e Audit (Premium). Tutte le funzionalità di Audi (Standard) sono incluse in Audit (Premium).
Funzionalità | Audit (Standard) | Audit (Premium) |
---|---|---|
Abilitato per impostazione predefinita | ||
Migliaia di eventi di controllo ricercabili | ||
Strumento di ricerca di controllo nel portale di Microsoft Purview e nel portale di conformità | ||
Controlla ricerca API Graph | ||
cmdlet Search-UnifiedAuditLog | ||
Esportazione dei record di controllo in un file CSV | ||
Accesso ai log di audit tramite l'API Office 365 Management Activity 1 | ||
Conservazione del log di controllo di 180 giorni | ||
Conservazione dei log di audit per 1 anno | ||
Conservazione dei log di audit per 10 anni 2 | ||
Criteri di conservazione dei log di audit | ||
Informazioni dettagliate intelligenti |
Nota
1 Audit (Premium) include l’accesso a una larghezza di banda più elevata all'API Office 365 Management Activity, che consente di accedere più rapidamente ai dati di controllo.
2 Oltre alle licenze necessarie per Audit (Premium) (descritte nella sezione successiva), a un utente deve essere assegnata una licenza del componente aggiuntivo Conservazione log di controllo di 10 anni per conservare i record di controllo per 10 anni.
Audit (Standard)
Audit (Standard) di Microsoft Purview ti consente di registrare e ricercare le attività controllate e di eseguire le tue indagini forensi, IT, di conformità e legali.
Abilitato per impostazione predefinita. Audit (Standard) è attivato per impostazione predefinita per tutte le organizzazioni che hanno sottoscritto l'abbonamento appropriato. Ciò significa che i record per le attività controllate vengono acquisiti e ricercabili. Come unica configurazione viene richiesto di assegnare i permessi necessari per accedere allo strumento di ricerca log di audit (e il cmdlet corrispondente) e assicurarsi che agli utenti sia fornita la giusta licenza per le funzionalità di Audit (Premium) di Microsoft Purview.
Migliaia di eventi di audit ricercabili. È possibile cercare una vasta gamma di attività controllate che si verificano nella maggior parte dei servizi Microsoft nell'organizzazione. Per un elenco delle attività che è possibile cercare, vedere Attività del log di controllo. Per un elenco dei servizi e delle funzioni che supportano le attività controllate, vedi Tipo di record del log di audit.
Strumento di ricerca di controllo nel portale di Microsoft Purview o nel portale di conformità. Usare lo strumento di ricerca log di controllo nei portali per cercare i record di controllo. Puoi cercare attività specifiche, attività eseguite da utenti specifici e attività che si sono verificate con un intervallo di date.
Controlla ricerca API Graph. Microsoft Graph offre un endpoint API unificato per l'accesso ai dati da più servizi cloud Microsoft in un'unica risposta. La API Graph Ricerca di controllo consente di accedere a livello di codice all'esperienza di ricerca di controllo tramite Microsoft Graph.
Cmdlet Search-UnifiedAuditLog. Puoi anche usare il cmdlet Search-UnifiedAuditLog di PowerShell di Exchange Online (il cmdlet sottostante per lo strumento di ricerca) per cercare eventi di audit o per usarli in uno script. Per altre informazioni, vedi:
Esportare i record di controllo in un file CSV. Dopo aver eseguito lo strumento di ricerca log di controllo nel portale di Microsoft Purview o nel portale di conformità, è possibile esportare i record di controllo restituiti dalla ricerca in un file CSV. In questo modo puoi usare Microsoft Excel per ordinare e filtrare in base a diverse proprietà dei record di controllo. Puoi anche usare la funzionalità di trasformazione Power Query per Excel per dividere ogni proprietà dell'oggetto JSON AuditData in una colonna specifica. In questo modo puoi visualizzare e confrontare in modo efficace dati simili per eventi diversi. Per ulteriori informazioni, vedi Esportare, configurare e visualizzare i record del log di audit.
Accedere ai log di audit tramite l'API Office 365 Management Activity. Un terzo metodo per accedere e recuperare i record di controllo è tramite l'API Office 365 Management Activity. Ciò consente alle organizzazioni di conservare i dati di controllo per periodi più lunghi rispetto ai 180 giorni predefiniti e di importare i dati di controllo in una soluzione SIEM. Per ulteriori informazioni, vedi Riferimento API Office 365 Management Activity.
Conservazione del log di controllo di 180 giorni. Quando un'attività di controllo viene eseguita da un utente o da un amministratore, viene generato un record di controllo che viene archiviato nel log di controllo per l'organizzazione. In Audit (Standard) i record vengono conservati per 180 giorni, il che significa che è possibile cercare le attività che si sono verificate negli ultimi sei mesi.
Importante
Il periodo di conservazione predefinito per Audit (Standard) è cambiato da 90 giorni a 180 giorni. I log di controllo (Standard) generati prima del 17 ottobre 2023 vengono conservati per 90 giorni. I log di controllo (Standard) generati dopo il 17 ottobre 2023 seguono la nuova conservazione predefinita di 180 giorni.
Audit (Premium)
Importante
Ricerca classica è stata ritirata a partire dal 30 novembre 2023. La nuova ricerca include miglioramenti come tempi di ricerca più veloci, opzioni di ricerca aggiuntive, possibilità di salvare le ricerche e altro ancora.
Audit (Premium) si basa sulle funzionalità di controllo (Standard) fornendo criteri di conservazione dei log di controllo, conservazione più lunga dei record di controllo, informazioni intelligenti di alto valore e accesso con larghezza di banda superiore all'API attività di gestione Office 365.
- Criteri di conservazione dei log di audit. Puoi creare criteri di conservazione dei log di audit personalizzati per conservare i record di controllo per periodi di tempo più lunghi fino a un anno (e fino a 10 anni per gli utenti con la licenza per un componente aggiuntivo richiesto). Puoi creare un criterio per conservare i record di controllo in base al servizio in cui si verificano le attività controllate, specifiche attività controllate o in base all'utente che esegue un'attività controllata.
- Conservazione più lunga dei record di controllo. Microsoft Entra ID, i record di controllo di Exchange, OneDrive e SharePoint vengono conservati per un anno per impostazione predefinita. Per impostazione predefinita, i record di controllo per tutte le altre attività vengono conservati per 180 giorni oppure è possibile usare i criteri di conservazione dei log di controllo per configurare periodi di conservazione più lunghi.
- Informazioni intelligenti di controllo (Premium). I record di controllo per informazioni dettagliate intelligenti possono aiutare l'organizzazione a condurre indagini forensi e di conformità fornendo visibilità agli eventi, ad esempio quando gli elementi di posta elettronica sono stati accessibili o quando gli elementi di posta elettronica sono stati risposto e inoltrati, o quando e ciò che un utente ha cercato in Exchange Online e SharePoint Online. Queste informazioni dettagliate intelligenti consentono di analizzare possibili violazioni e determinare l'ambito di compromissione.
- Larghezza di banda più elevata per l'API Office 365 Management Activity. Audit (Premium) offre alle organizzazioni più larghezza di banda per accedere ai log di controllo tramite l'API Office 365 Management Activity. Nonostante a tutte le organizzazioni [con Audit (Standard) o Audit (Premium)] sia stata inizialmente assegnata una previsione di 2.000 richieste al minuto, questo limite aumenterà in modo dinamico in base al numero di postazioni di un'organizzazione e alla licenza a cui si è abbonati. Di fatto, le organizzazioni con Audit (Premium) hanno una larghezza di banda doppia rispetto alle organizzazioni con Audit (Standard).
Conservazione a lungo termine dei log di controllo
Audit (Premium) conserva tutti i record di controllo di Exchange, SharePoint e Microsoft Entra per un anno. Questa operazione viene eseguita da un criterio di conservazione del log di controllo predefinito che mantiene qualsiasi record di controllo che contiene il valore di AzureActiveDirectory, Exchange, OneDrive o SharePoint, per la proprietà Workload (che indica il servizio in cui si è verificata l'attività) per un anno. Conservare i record di controllo per periodi più lunghi può essere utile per le indagini forensi o di conformità in corso. Per altre informazioni, vedere la sezione "Criterio di conservazione dei log di controllo predefinito" in Gestire i criteri di conservazione dei log di controllo.
Oltre alle funzionalità di conservazione di un anno di Audit (Premium), è stata rilasciata anche la funzionalità di conservazione dei log di controllo per 10 anni. Il periodo di conservazione di 10 anni dei log di audit consente di supportare le indagini lunghe e rispondere a obblighi normativi, legali e interni.
Nota
La conservazione dei log di controllo per 10 anni richiede una licenza aggiuntiva per ogni componente aggiuntivo per utente. Dopo che questa licenza è stata assegnata a un utente e un criterio di conservazione del registro di controllo di 10 anni è stato impostato per quell'utente, i log di audit coperti da tale criterio inizieranno a essere conservati per un periodo di 10 anni. Questo criterio non è retroattivo e non consente di conservare i log di audit generati prima della creazione del criterio di conservazione di 10 anni.
Criteri di conservazione dei log di audit
Tutti i record di controllo generati in altri servizi che non sono coperti dai criteri di conservazione predefiniti del log di controllo (descritti nella sezione precedente) vengono conservati per 180 giorni. Ma è possibile creare criteri di conservazione dei log di controllo personalizzati per conservare altri record di controllo per periodi più lunghi, fino a 10 anni. Si può creare un criterio per conservare i record di controllo in base a uno o più dei seguenti criteri:
Servizio Microsoft in cui si verificano le attività controllate.
Le specifiche attività controllate.
L'utente che esegue un'attività controllata.
Importante
Il periodo di conservazione predefinito per Audit (Standard) è cambiato da 90 giorni a 180 giorni. I log di controllo (Standard) generati prima del 17 ottobre 2023 vengono conservati per 90 giorni. I log di controllo (Standard) generati dopo il 17 ottobre 2023 seguono la nuova conservazione predefinita di 180 giorni. È anche possibile specificare per quanto tempo conservare i record di controllo che corrispondono ai criteri e a un livello di priorità in modo che criteri specifici abbiano la priorità rispetto ad altri criteri. Si noti inoltre che qualsiasi criterio di conservazione dei log di controllo personalizzato ha la precedenza sui criteri di conservazione di controllo predefiniti nel caso in cui sia necessario conservare i record di controllo di Exchange, SharePoint o Azure Active Directory per meno di un anno (o per 10 anni) per alcuni o tutti gli utenti dell'organizzazione. Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo.
Importante
La durata dell'elemento di controllo per i dati viene determinata quando viene aggiunta alla pipeline di controllo e si basa sulle impostazioni predefinite delle licenze o sui criteri di conservazione applicabili. Eventuali modifiche alle licenze o ai criteri di conservazione applicabili modificano l'ora di scadenza dei dati di controllo dopo l'aggiornamento. Queste modifiche non modificano gli elementi di cui è stato eseguito il commit in precedenza.
Proprietà dell'attività Di controllo (Premium)
Audit (Premium) aiuta le organizzazioni a svolgere indagini forensi o di conformità fornendo accesso a eventi importanti, come quando l'utente accede a elementi di posta elettronica, invia risposte e li inoltra, oppure quando e cosa gli utenti hanno cercato in Exchange Online e SharePoint Online. Questi eventi consentono di indagare sulle possibili violazioni e stabilire la portata della compromissione. Oltre a questi eventi in Exchange e SharePoint, esistono eventi in altri servizi Microsoft che sono considerati eventi importanti e richiedono che agli utenti sia assegnata la licenza Di controllo (Premium) appropriata. Agli utenti deve essere assegnata una licenza Di controllo (Premium) in modo che i log di controllo vengano generati quando gli utenti eseguono questi eventi.
Queste attività richiedono che agli utenti sia assegnata la licenza di controllo (Premium) appropriata. Agli utenti deve essere assegnata una licenza Di controllo (Premium) in modo che i log di controllo vengano generati quando gli utenti eseguono queste attività e proprietà.
Audit (Premium) consente di accedere alle proprietà di attività seguenti:
Exchange Online
Attività | Proprietà |
---|---|
MailItemsAccessed | SensitivityLabel |
Microsoft Teams
Attività | Proprietà |
---|---|
ChatCreato | AppAccessContext |
ChatRetrieved | AppAccessContext |
ChatUpdated | AppAccessContext |
MeetingParticipantDetail | IsJoinedFromLobby ArtifactShared |
MessageCreatedNotification | AppAccessContext |
MessageDeletedNotification | AppAccessContext |
MessageHostedContentsListed | AppAccessContext |
MessageHostedContentRead | AppAccessContext |
MessagesListed | AppAccessContext |
MessageRead | AppAccessContext |
MessageSent | AppAccessContext ParticipatingDomainInformation ParticipantInfo |
MessageUpdated | ParticipantInfo AppAccessContext |
MessageUpdatedNotification | AppAccessContext |
SubscribedToMessages | AppAccessContext |
Accesso a larghezza di banda elevata all'API Office 365 Management Activity
Le organizzazioni che accedono ai log di controllo con l'API Office 365 Management Activity erano vincolate da limitazioni a livello di publisher. Questo significa che per un publisher che estrae dati per conto di più clienti, il limite era condiviso da tutti i clienti.
Con Audit (Premium), questa operazione è passata da un limite a livello di server di pubblicazione a un limite a livello di tenant. Il risultato è che ogni organizzazione ottiene la propria quota di larghezza di banda completamente allocata per accedere ai dati di controllo. La larghezza di banda non è un limite statico predefinito, ma è modellata su una combinazione di fattori, tra cui il numero di postazioni nell'organizzazione e che le organizzazioni E5/A5/G5 ottengono più larghezza di banda rispetto alle organizzazioni non E5/A5/G5.
A tutte le organizzazioni viene inizialmente assegnata una baseline di 2.000 richieste al minuto. Questo limite aumenta dinamicamente a seconda del numero di posti e della sottoscrizione delle licenze di un'organizzazione. Le organizzazioni E5/A5/G5 ottengono circa il doppio della larghezza di banda rispetto alle organizzazioni non E5/A5/G5. È previsto un limite per la larghezza di banda massima per proteggere l'integrità del servizio.
Per altre informazioni, vedere la sezione Limitazione delle richieste API in informazioni di riferimento sull'API Office 365 Management Activity.
Requisiti di licenza
Prima di iniziare, esaminare i requisiti di sottoscrizione per Audit (Standard) e Audit (Premium).
Formazione
Formare il team delle operazioni di sicurezza, gli amministratori IT e il team di indagine della conformità nelle nozioni fondamentali per Audit (Standard) e Audit (Premium) consente all'organizzazione di iniziare a sfruttare più rapidamente le funzionalità di controllo e facilitare le indagini. Per consentire agli utenti dell'organizzazione di iniziare a eseguire il controllo, Microsoft Purview offre la risorsa seguente: Descrivere le funzionalità di eDiscovery e di controllo di Microsoft Purview.