Microsoft Purview의 감사 솔루션에 대해 알아보기
Microsoft Purview 감사 솔루션은 조직이 보안 이벤트, 법의학적 조사, 내부 조사 및 규정 준수 의무에 효과적으로 대응할 수 있도록 지원하는 통합 솔루션을 제공합니다. 수십 개의 Microsoft 서비스 및 솔루션에서 수행되는 수천 개의 사용자 및 관리자 작업은 organization 통합 감사 로그에 캡처, 기록 및 유지됩니다. 이러한 이벤트에 대한 감사 기록은 보안 운영자, IT 관리자, 내부자 위험 팀, 조직의 규정 준수 및 법률 조사관이 검색할 수 있습니다. 이 기능은 organization 수행된 활동에 대한 가시성을 제공합니다.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 평가판 허브에서 지금 시작합니다. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
주요 기능 비교
다음 표에서는 감사(표준) 및 감사(프리미엄)에서 사용할 수 있는 주요 기능을 비교합니다. 모든 감사(표준) 기능은 감사(프리미엄)에 포함됩니다.
기능 | 감사(표준) | 감사(프리미엄) |
---|---|---|
기본적으로 사용 | ||
수천 개의 검색 가능한 감사 이벤트 | ||
Microsoft Purview 포털 및 규정 준수 포털의 감사 검색 도구 | ||
Audit Search Graph API | ||
Search-UnifiedAuditLog cmdlet | ||
CSV 파일로 감사 레코드 내보내기 | ||
Office 365 관리 작업 API를 통해 감사 로그에 액세스1. | ||
180일 감사 로그 보존 | ||
1년 감사 로그 보존 | ||
10년 감사 로그 보존 기간 2 | ||
로그 보존 정책 감사 | ||
지능형 인사이트 |
참고
1 감사(프리미엄)에는 감사 데이터에 대한 더 빠른 액세스를 제공하는 Office 365 관리 활동 API에 대한 더 높은 대역폭 액세스가 포함됩니다.
2 감사에 필요한 라이선스(프리미엄)(다음 섹션에 설명됨) 외에도 10년 동안 감사 기록을 보존하려면 사용자에게 10년 감사 로그 보존 추가 기능 라이선스가 할당되어야 합니다.
감사(표준)
Microsoft Purview 감사(표준)는 감사된 활동을 기록 및 검색하고 법의학, IT, 규정 준수 및 법적 조사를 수행할 수 있는 기능을 제공합니다.
기본적으로 사용 설정됩니다. 감사(표준)는 적절한 구독이 있는 모든 조직에 대해 기본적으로 켜져 있습니다. 즉, 감사된 활동에 대한 레코드를 캡처하고 검색할 수 있습니다. 필요한 유일한 설정은 감사 로그 검색 도구(및 해당 cmdlet)에 액세스하는 데 필요한 권한을 할당하고 사용자에게 Microsoft Purview 감사(프리미엄) 기능에 대한 올바른 라이선스가 할당되었는지 확인하는 것입니다.
수천 개의 검색 가능한 감사 이벤트. organization 대부분의 Microsoft 서비스에서 발생하는 광범위한 감사 활동을 검색할 수 있습니다. 검색할 수 있는 활동 목록은 감사 로그 활동을 참조하세요. 감사된 작업을 지원하는 서비스 및 기능 목록은 감사 로그 레코드 유형을 참조하세요.
Microsoft Purview 포털 또는 규정 준수 포털의 감사 검색 도구입니다. 포털의 감사 로그 검색 도구를 사용하여 감사 레코드를 검색합니다. 특정 활동, 특정 사용자가 수행한 활동 및 날짜 범위로 발생한 활동을 검색할 수 있습니다.
Audit Search Graph API. Microsoft Graph는 단일 응답에서 여러 Microsoft 클라우드 서비스의 데이터에 액세스하기 위한 통합 API 엔드포인트를 제공합니다. Audit Search Graph API 통해 Microsoft Graph를 통해 프로그래밍 방식으로 감사 검색 환경에 액세스할 수 있습니다.
Search-UnifiedAuditLog cmdlet. Exchange Online PowerShell의 Search-UnifiedAuditLog cmdlet(검색 도구의 기본 cmdlet)을 사용하여 감사 이벤트를 검색하거나 스크립트에서 사용할 수도 있습니다. 자세한 내용은 다음을 참조하세요.
감사 레코드를 CSV 파일로 내보내기. Microsoft Purview 포털 또는 규정 준수 포털에서 감사 로그 검색 도구를 실행한 후 검색에서 반환된 감사 레코드를 CSV 파일로 내보낼 수 있습니다. 이렇게 하면 Microsoft Excel 정렬 및 필터 기능을 여러 감사 레코드 속성에서 사용할 수 있습니다. Excel 파워 쿼리 변환 기능을 사용하여 AuditData JSON 개체의 각 속성을 자체 열로 분할할 수도 있습니다. 이렇게 하면 서로 다른 이벤트에 대한 유사한 데이터를 효과적으로 보고 비교할 수 있습니다. 자세한 내용은 감사 로그 레코드 내보내기, 구성 및 보기를 참조하세요.
Office 365 Management Activity API를 통해 감사 로그에 액세스. 감사 레코드를 액세스하고 검색하는 세 번째 방법은 Office 365 Management Activity API를 사용하는 것입니다. 이렇게 하면 조직에서 기본 180일보다 오랫동안 감사 데이터를 유지하고 감사 데이터를 SIEM 솔루션으로 가져올 수 있습니다. 자세한 내용은 Office 365 관리 작업 API 참조를 참조하세요.
180일 감사 로그 보존. 사용자 또는 관리자가 감사되는 활동을 수행하면 감사 레코드가 생성되어 조직의 감사 로그에 저장됩니다. 감사(Standard)에서는 레코드가 180일 동안 보존되므로 지난 6개월 이내에 발생한 활동을 검색할 수 있습니다.
중요
감사(Standard)의 기본 보존 기간이 90일에서 180일로 변경되었습니다. 2023년 10월 17일 이전에 생성된 감사(Standard) 로그는 90일 동안 유지됩니다. 2023년 10월 17일 또는 그 이후에 생성된 감사(Standard) 로그는 180일의 새로운 기본 보존 기간을 따릅니다.
감사(프리미엄)
중요
클래식 검색은 2023년 11월 30일부터 사용 중지되었습니다. 새 검색 에는 더 빠른 검색 시간, 추가 검색 옵션, 검색 저장 기능 등의 향상된 기능이 포함되어 있습니다.
감사(프리미엄)는 감사 로그 보존 정책, 감사 레코드의 더 긴 보존, 높은 가치의 지능형 인사이트 및 Office 365 관리 활동 API에 대한 높은 대역폭 액세스를 제공하여 감사(Standard)의 기능을 기반으로 합니다.
- 감사 로그 보존 정책. 사용자 정의된 감사 로그 보존 정책을 생성하여 감사 레코드를 최대 1년(필요한 추가 기능 라이선스를 가진 사용자의 경우 최대 10년)까지 더 오래 유지할 수 있습니다. 감사된 활동이 발생하는 서비스, 특정 감사된 활동 또는 감사된 활동을 수행하는 사용자를 기준으로 감사 레코드를 보관하는 정책을 만들 수 있습니다.
- 더 길어진 감사 레코드의 보존 Microsoft Entra ID, Exchange, OneDrive 및 SharePoint 감사 레코드는 기본적으로 1년 동안 유지됩니다. 다른 모든 활동에 대한 감사 레코드는 기본적으로 180일 동안 보존되거나 감사 로그 보존 정책을 사용하여 더 긴 보존 기간을 구성할 수 있습니다.
- 감사(프리미엄) 지능형 인사이트. 지능형 인사이트에 대한 감사 레코드는 메일 항목에 액세스한 시기, 메일 항목이 회신 및 전달된 시기, 사용자가 Exchange Online 및 SharePoint Online에서 검색한 시기 및 내용과 같은 이벤트에 대한 가시성을 제공하여 organization 포렌식 및 규정 준수 조사를 수행하는 데 도움이 될 수 있습니다. 이러한 지능형 인사이트는 가능한 위반을 조사하고 손상 scope 확인하는 데 도움이 될 수 있습니다.
- Office 365 관리 활동 API에 대한 고 대역폭. 감사(프리미엄)는 조직에 Office 365 관리 활동 API를 통해 감사 로그에 액세스할 수 있는 더 많은 대역폭을 제공합니다. 모든 조직(감사(표준) 또는 감사(프리미엄))은 처음에 분당 2,000개 요청의 기준선이 할당되지만 이 제한은 조직의 시트 수와 라이선스 구독에 따라 동적으로 증가합니다. 그 결과 감사(프리미엄)가 있는 조직은 감사(표준)가 있는 조직보다 대역폭이 약 2배가 됩니다.
감사 로그의 장기 보존
감사(프리미엄)는 모든 Exchange, SharePoint 및 Microsoft Entra 감사 레코드를 1년 동안 유지합니다. 이 작업은 워크로드 속성(활동이 발생한 서비스를 나타낸)에 대해 AzureActiveDirectory, Exchange, OneDrive 또는 SharePoint 값이 포함된 감사 레코드를 1년 동안 유지하는 기본 감사 로그 보존 정책에 의해 수행됩니다. 감사 기록을 장기간 유지하면 진행 중인 법률적 또는 규정 준수 조사에 도움이 될 수 있습니다. 자세한 정보는 감사 로그 보존 정책 관리의 "기본 감사 로그 보존 정책"섹션을 참조하십시오.
감사(프리미엄)의 1년 보존 기능 외에도 10년 동안 감사 로그를 유지하는 기능도 릴리스했습니다. 감사 로그의 10년 보존은 장기 실행 조사를 지원하고 규제, 법률 및 내부 의무에 대응하는 데 도움이 됩니다.
참고
10년 동안 감사 로그를 유지하려면 사용자별 추가 기능 라이선스가 추가로 필요합니다. 이 라이선스가 사용자에게 할당되고 해당 사용자에 대해 적절한 10년 감사 로그 보존 정책이 설정된 후 해당 정책이 적용되는 감사 로그는 10년 동안 보존되기 시작합니다. 이 정책은 소급되지 않으며 10년 감사 로그 보존 정책을 만들기 전에 생성된 감사 로그를 보존할 수 없습니다.
로그 보존 정책 감사
기본 감사 로그 보존 정책(이전 섹션에서 설명)이 적용되지 않는 다른 서비스에서 생성된 모든 감사 레코드는 180일 동안 보존됩니다. 그러나 최대 10년 동안 다른 감사 레코드를 보존하기 위한 사용자 지정 감사 로그 보존 정책을 만들 수 있습니다. 다음 기준 중 하나 이상을 기반으로 감사 레코드를 보존하는 정책을 만들 수 있습니다.
감사된 활동이 발생하는 Microsoft 서비스입니다.
감사되는 구체적 활동
감사되는 활동을 수행하는 사용자
중요
감사(Standard)의 기본 보존 기간이 90일에서 180일로 변경되었습니다. 2023년 10월 17일 이전에 생성된 감사(Standard) 로그는 90일 동안 유지됩니다. 2023년 10월 17일 또는 그 이후에 생성된 감사(Standard) 로그는 180일의 새로운 기본 보존 기간을 따릅니다. 특정 정책이 다른 정책보다 우선적으로 적용되도록 정책 및 우선 순위 수준과 일치하는 감사 레코드를 보존하는 기간을 지정할 수도 있습니다. 또한 사용자 지정 감사 로그 보존 정책은 organization 일부 또는 모든 사용자에 대해 Exchange, SharePoint 또는 Azure Active Directory 감사 레코드를 1년 미만(또는 10년 동안) 보존해야 하는 경우 기본 감사 보존 정책보다 우선합니다. 자세한 내용은 감사 로그 보존 정책 관리를 참조하십시오.
중요
데이터에 대한 감사 항목 수명은 감사 파이프라인에 추가되는 경우 결정되며 라이선스 기본값 또는 적용 가능한 보존 정책을 기반으로 합니다. 라이선스 또는 적용 가능한 보존 정책을 변경하면 업데이트 후 감사 데이터의 만료 시간이 변경됩니다. 이러한 변경은 이전에 커밋된 항목을 변경하지 않습니다.
감사(프리미엄) 활동 속성
감사(프리미엄)는 메일 항목에 액세스한 시기, 메일 항목에 회신하거나 이를 전달한 시기, 사용자가 Exchange Online 및 SharePoint Online에서 검색한 시기와 내용과 같은 중요한 이벤트에 대한 액세스를 제공하여 조직이 법과학 및 규정 준수 조사를 수행하는 데 도움이 됩니다. 이러한 이벤트는 발생 가능성이 있는 위반을 조사하고 손상 범위를 결정하는 데 도움이 될 수 있습니다. Exchange 및 SharePoint의 이러한 이벤트 외에도 중요한 이벤트로 간주되고 사용자에게 적절한 감사(프리미엄) 라이선스가 할당되어야 하는 다른 Microsoft 서비스의 이벤트가 있습니다. 사용자가 이러한 이벤트를 수행할 때 감사 로그가 생성되도록 사용자에게 감사(프리미엄) 라이선스가 할당되어야 합니다.
이러한 작업을 수행하려면 사용자에게 적절한 감사(프리미엄) 라이선스가 할당되어야 합니다. 사용자가 이러한 활동 및 속성을 수행할 때 감사 로그가 생성되도록 사용자에게 감사(프리미엄) 라이선스가 할당되어야 합니다.
Audit(프리미엄)는 다음 활동 속성에 대한 액세스를 제공합니다.
Exchange Online
활동 | 속성 |
---|---|
MailItemsAccessed | SensitivityLabel |
Microsoft Teams
활동 | 속성 |
---|---|
ChatCreated | AppAccessContext |
ChatRetrieved | AppAccessContext |
ChatUpdated | AppAccessContext |
MeetingParticipantDetail | IsJoinedFromLobby ArtifactShared |
MessageCreatedNotification | AppAccessContext |
MessageDeletedNotification | AppAccessContext |
MessageHostedContentsListed | AppAccessContext |
MessageHostedContentRead | AppAccessContext |
MessagesListed | AppAccessContext |
MessageRead | AppAccessContext |
MessageSent | AppAccessContext ParticipatingDomainInformation ParticipantInfo |
MessageUpdated | ParticipantInfo AppAccessContext |
MessageUpdatedNotification | AppAccessContext |
SubscribedToMessages | AppAccessContext |
Office 365 관리 활동 API에 대한 고 대역폭 액세스
Office 365 관리 활동 API를 통해 감사 로그에 액세스하는 조직은 게시자 수준에서 제한을 스로틀링하여 제한되었습니다. 이는 여러 고객을 대신하여 데이터를 가져 오는 게시자의 경우 모든 고객이 한도를 공유했음을 의미합니다.
감사(프리미엄)를 사용하면 게시자 수준 제한에서 테넌트 수준 제한으로 변경되었습니다. 그 결과 각 organization 감사 데이터에 액세스하기 위해 완전히 할당된 자체 대역폭 할당량을 가져옵니다. 대역폭은 정적이고 미리 정의된 제한이 아니지만 organization 사용자 수와 E5/A5/G5 조직이 E5/A5/G5 조직보다 더 많은 대역폭을 얻는 요인의 조합을 기반으로 모델링됩니다.
모든 조직에는 처음에 분당 2,000건의 요청 기준이 할당됩니다. 이 제한은 organization 사용자 수 및 라이선스 구독에 따라 동적으로 증가합니다. E5/A5/G5 조직은 비 E5/A5/G5 조직보다 약 두 배 많은 대역폭을 얻습니다. 서비스의 상태를 보호하기 위한 최대 대역폭의 한도가 있습니다.
자세한 내용은 Office 365 관리 활동 API 참조의 API 제한 섹션을 참조하세요.
라이선스 요구사항
시작하기 전에 감사(Standard) 및 감사(프리미엄)에 대한 구독 요구 사항을 검토합니다.
교육
감사(표준) 및 감사(프리미엄)에 대한 기본 사항에 대해 보안 운영 팀, IT 관리자 및 규정 준수 조사자 팀을 교육하면 조직에서 조사에 도움이 되는 감사를 사용하여 더 빨리 시작하는 데 도움이 될 수 있습니다. Microsoft Purview는 조직의 이러한 사용자가 감사를 시작하는 데 도움이 되는 다음과 같은 리소스를 제공합니다. Microsoft Purview의 eDiscovery 및 감사 기능에 대해 설명합니다.