Office 365 审计在跟踪组织异常活动中的作用

您是否担心 O365 租户中的敏感数据泄露、可疑文件上传和权限更改？如果是这样，Office 365 审核就是您正在寻找的解决方案，Office 365 审核日志可以帮助您关注员工的活动、调查安全漏洞并满足合规性标准。

O365统一审核日志有什么作用？

O365统一审核日志就像一个自功能笔记本，记录Office 365租户的所有活动，并在发生新事件时记录下来。

借助审核日志搜索工具，您可以搜索、查看和导出所需事件或活动的审核记录。它记录用户和管理员在各种 Microsoft 365 服务中的活动，并根据审核的保留期保留它们。

如何启用 Office 365 审核？

如果您的组织使用 Microsoft 365 和 Office 365 企业版订阅，则默认启用审核。如果未启用，请按照以下方式启用 Microsoft 365 审核。

1. 使用Microsoft Purview 合规门户。
2. 使用PowerShell。

1.通过 Office 365 合规门户启用审核：

步骤1：转到Microsoft Purview合规门户，然后单击门户左侧“解决方案”下的“审核”。

步骤 2：在“搜索”选项卡下，按“开始记录用户和管理员活动”按钮。

2.使用 PowerShell 在 Office 365 中启用审核：

您还可以使用 PowerShell 打开审核。这可以按如下方式完成：

1. 首先，连接到 Exchange Online PowerShell。
2. 然后运行以下 cmdlet 以打开审核：

 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

如何搜索Office 365审核日志？

您可以使用以下方式借助审核日志搜索来搜索和查看 Office 365 管理员和用户的活动。

1. Microsoft Purview 合规门户。
2. PowerShell/Exchange 管理外壳
3. Office 365 管理活动 API

方法 1：使用合规中心搜索 Office 365 审核日志：

1. 转至 Microsoft Purview 合规门户。然后选择“解决方案”菜单下的“审核”。
2. 在“搜索”选项卡下方，根据您的要求指定搜索统一审核日志所需的过滤器，例如日期、时间、用户和活动。然后按“搜索”。
3. 如果您愿意，您可以下载 CSV 格式的结果以用于文档和其他目的。

对于管理员来说，分析和管理 O365 环境非常具有挑战性，因为可下载的 CSV 文件非常繁琐且不熟悉。

方法 2：使用 PowerShell 进行审核日志搜索：

您可以使用 Exchange Online PowerShell 中的 Search-UnifiedAuditLog cmdlet 搜索 Office 365 审核日志。

此 cmdlet 将生成有关跨应用程序和服务（例如 Exchange Online、SharePoint、Teams 等）的活动的报告。

例子 ：

Search-UnifiedAuditLog -StartDate 4/27/2022 -EndDate 5/4/2022

它检索从开始日期（2022 年 4 月 27）到结束日期（4）的所有统一审核日志跨度 > 2022 年 5 月）。

除非您具备 PowerShell cmdlet 的基本知识，否则通过 PowerShell 搜索审核日志会更加复杂。此外，复杂的 PowerShell 脚本会占用您的时间和安心。

方法 3：使用 Office 365 活动管理 API 搜索审核日志：

Office 365 管理活动 API有助于获取有关 Office 365 和 Azure AD 中的用户、管理员、系统以及策略操作和事件的信息。此外，您还可以以 JSON 格式下载所有这些报告。除此之外，管理员还可以借助此工具可视化审核数据并分析使用趋势。

使用 Office 365 活动管理 API 的主要缺点是它仅获取过去 7 天的数据，而其他人则检索过去 90 天的 Office 365 审核数据。

本机 Office 365 审核日志的限制：

尽管本机 Office 365 审核提供所有 Microsoft 365 活动的记录，但 Office 365 审核日志存在一些缺点。他们之中有一些是：

• 分析复杂：对于不熟悉本机审计日志的人来说，它们非常难以理解。它们是随意列出的。

• 搜索过滤选项有限：可用于审核日志搜索的过滤选项有限。因此，很难找到您正在寻找的相关报告。而且，在统一审计日志中手动查找所需数据会消耗更多时间。
• 仅包含一些预定义的报告：管理员应根据其所需的要求创建报告，因为只有一些预定义的报告。此外，无法创建和保存自定义过滤器。
• 默认保留期较低：默认情况下，O365 审核数据仅保留 90 天。要保留更长时间，您必须创建审核保留策略。这样做很麻烦，因为 O365 活动有很多类别。通过扩展的审核日志功能，Microsoft Purview（标准）客户可以将审核日志保留长达 180 天。

本机 Office 365 审核日志的替代方案：

本机 Office 365 审核已变得过时。 Office 365 审核的最佳替代工具之一是 AdminDroid Office 365 审核工具。它拥有 800+ 预定义的审核和分析报告以及高级过滤选项和视图。 人工智能驱动的图形分析和审核仪表板极大地帮助管理员可视化 O365 活动并获得强大的见解。

AdminDroid 会累积所有 Office 365 审核数据并无限期存储。您可以根据您所需的时间间隔随时访问数据。

结论：

尽管有其局限性，Office 365 审核是一项非常有用的功能，它将帮助您监控租户中的所有活动，并在 Office 365 审核日志的帮助下，您可以有效地对任何可疑活动做出相应反应。您可以说它有助于为您的租户增加一层透明度，并且您可以正确了解正在发生的情况。因此，如果您希望正确监控 Office 365 环境，可以尝试使用 Office 365 审核和审核日志。