Informazioni sulle soluzioni di controllo in Microsoft Purview

Le soluzioni di controllo di Microsoft Purview rappresentano una soluzione integrata per aiutare le organizzazioni a rispondere in modo efficace a eventi di sicurezza, indagini forensi, indagini interne e obblighi di conformità. Migliaia di operazioni utente e amministratore eseguite in decine di servizi e soluzioni Microsoft vengono acquisite, registrate e conservate nel log di controllo unificato dell'organizzazione. I record di controllo di questi eventi possono essere ricercati da operazioni di sicurezza, amministratori IT, team di rischio Insider e investigatori legali e di conformità della tua organizzazione. Questa funzionalità offre visibilità sulle attività eseguite nell'organizzazione.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Confronto tra funzionalità chiave

La tabella seguente contiene un confronto delle funzionalità principali disponibili in Audit (Standard) e Audit (Premium). Tutte le funzionalità di Audi (Standard) sono incluse in Audit (Premium).

Funzionalità Audit (Standard) Audit (Premium)
Abilitato per impostazione predefinita Sostenuto. Sostenuto.
Migliaia di eventi di controllo ricercabili Sostenuto. Sostenuto.
Strumento di ricerca di controllo nel portale di Microsoft Purview e nel portale di conformità Sostenuto. Sostenuto.
Controlla ricerca API Graph Sostenuto. Sostenuto.
cmdlet Search-UnifiedAuditLog Sostenuto. Sostenuto.
Esportazione dei record di controllo in un file CSV Sostenuto. Sostenuto.
Accesso ai log di audit tramite l'API Office 365 Management Activity 1 Sostenuto. Sostenuto.
Conservazione del log di controllo di 180 giorni Sostenuto. Sostenuto.
Conservazione dei log di audit per 1 anno Sostenuto.
Conservazione dei log di audit per 10 anni 2 Supportato
Criteri di conservazione dei log di audit Supportato
Informazioni dettagliate intelligenti Supportato

Nota

1 Audit (Premium) include l’accesso a una larghezza di banda più elevata all'API Office 365 Management Activity, che consente di accedere più rapidamente ai dati di controllo.
2 Oltre alle licenze necessarie per Audit (Premium) (descritte nella sezione successiva), a un utente deve essere assegnata una licenza del componente aggiuntivo Conservazione log di controllo di 10 anni per conservare i record di controllo per 10 anni.

Audit (Standard)

Audit (Standard) di Microsoft Purview ti consente di registrare e ricercare le attività controllate e di eseguire le tue indagini forensi, IT, di conformità e legali.

  • Abilitato per impostazione predefinita. Audit (Standard) è attivato per impostazione predefinita per tutte le organizzazioni che hanno sottoscritto l'abbonamento appropriato. Ciò significa che i record per le attività controllate vengono acquisiti e ricercabili. Come unica configurazione viene richiesto di assegnare i permessi necessari per accedere allo strumento di ricerca log di audit (e il cmdlet corrispondente) e assicurarsi che agli utenti sia fornita la giusta licenza per le funzionalità di Audit (Premium) di Microsoft Purview.

  • Migliaia di eventi di audit ricercabili. È possibile cercare una vasta gamma di attività controllate che si verificano nella maggior parte dei servizi Microsoft nell'organizzazione. Per un elenco delle attività che è possibile cercare, vedere Attività del log di controllo. Per un elenco dei servizi e delle funzioni che supportano le attività controllate, vedi Tipo di record del log di audit.

  • Strumento di ricerca di controllo nel portale di Microsoft Purview o nel portale di conformità. Usare lo strumento di ricerca log di controllo nei portali per cercare i record di controllo. Puoi cercare attività specifiche, attività eseguite da utenti specifici e attività che si sono verificate con un intervallo di date.

  • Controlla ricerca API Graph. Microsoft Graph offre un endpoint API unificato per l'accesso ai dati da più servizi cloud Microsoft in un'unica risposta. La API Graph Ricerca di controllo consente di accedere a livello di codice all'esperienza di ricerca di controllo tramite Microsoft Graph.

  • Cmdlet Search-UnifiedAuditLog. Puoi anche usare il cmdlet Search-UnifiedAuditLog di PowerShell di Exchange Online (il cmdlet sottostante per lo strumento di ricerca) per cercare eventi di audit o per usarli in uno script. Per altre informazioni, vedi:

  • Esportare i record di controllo in un file CSV. Dopo aver eseguito lo strumento di ricerca log di controllo nel portale di Microsoft Purview o nel portale di conformità, è possibile esportare i record di controllo restituiti dalla ricerca in un file CSV. In questo modo puoi usare Microsoft Excel per ordinare e filtrare in base a diverse proprietà dei record di controllo. Puoi anche usare la funzionalità di trasformazione Power Query per Excel per dividere ogni proprietà dell'oggetto JSON AuditData in una colonna specifica. In questo modo puoi visualizzare e confrontare in modo efficace dati simili per eventi diversi. Per ulteriori informazioni, vedi Esportare, configurare e visualizzare i record del log di audit.

  • Accedere ai log di audit tramite l'API Office 365 Management Activity. Un terzo metodo per accedere e recuperare i record di controllo è tramite l'API Office 365 Management Activity. Ciò consente alle organizzazioni di conservare i dati di controllo per periodi più lunghi rispetto ai 180 giorni predefiniti e di importare i dati di controllo in una soluzione SIEM. Per ulteriori informazioni, vedi Riferimento API Office 365 Management Activity.

  • Conservazione del log di controllo di 180 giorni. Quando un'attività di controllo viene eseguita da un utente o da un amministratore, viene generato un record di controllo che viene archiviato nel log di controllo per l'organizzazione. In Audit (Standard) i record vengono conservati per 180 giorni, il che significa che è possibile cercare le attività che si sono verificate negli ultimi sei mesi.

Importante

Il periodo di conservazione predefinito per Audit (Standard) è cambiato da 90 giorni a 180 giorni. I log di controllo (standard) generati prima del 17 ottobre 2023 vengono conservati per 90 giorni. I log di controllo (standard) generati il 17 ottobre 2023 o successivi seguono la nuova conservazione predefinita di 180 giorni.

Audit (Premium)

Importante

Ricerca classica è stata ritirata a partire dal 30 novembre 2023. La nuova ricerca include miglioramenti come tempi di ricerca più veloci, opzioni di ricerca aggiuntive, possibilità di salvare le ricerche e altro ancora.

Audit (Premium) si basa sulle funzionalità di Controllo (Standard) fornendo criteri di conservazione dei log di controllo, conservazione più lunga dei record di controllo, informazioni intelligenti di alto valore e accesso con larghezza di banda superiore all'API attività di gestione Office 365.

  • Criteri di conservazione dei log di audit. Puoi creare criteri di conservazione dei log di audit personalizzati per conservare i record di controllo per periodi di tempo più lunghi fino a un anno (e fino a 10 anni per gli utenti con la licenza per un componente aggiuntivo richiesto). Puoi creare un criterio per conservare i record di controllo in base al servizio in cui si verificano le attività controllate, specifiche attività controllate o in base all'utente che esegue un'attività controllata.
  • Conservazione più lunga dei record di controllo. Microsoft Entra ID, i record di controllo di Exchange, OneDrive e SharePoint vengono conservati per un anno per impostazione predefinita. Per impostazione predefinita, i record di controllo per tutte le altre attività vengono conservati per 180 giorni oppure è possibile usare i criteri di conservazione dei log di controllo per configurare periodi di conservazione più lunghi.
  • Informazioni intelligenti di controllo (Premium). I record di controllo per informazioni dettagliate intelligenti possono aiutare l'organizzazione a condurre indagini forensi e di conformità fornendo visibilità agli eventi, ad esempio quando gli elementi di posta elettronica sono stati accessibili o quando gli elementi di posta elettronica sono stati risposto e inoltrati, o quando e ciò che un utente ha cercato in Exchange Online e SharePoint Online. Queste informazioni dettagliate intelligenti consentono di analizzare possibili violazioni e determinare l'ambito di compromissione.
  • Larghezza di banda più elevata per l'API Office 365 Management Activity. Audit (Premium) offre alle organizzazioni più larghezza di banda per accedere ai log di controllo tramite l'API Office 365 Management Activity. Nonostante a tutte le organizzazioni [con Audit (Standard) o Audit (Premium)] sia stata inizialmente assegnata una previsione di 2.000 richieste al minuto, questo limite aumenterà in modo dinamico in base al numero di postazioni di un'organizzazione e alla licenza a cui si è abbonati. Di fatto, le organizzazioni con Audit (Premium) hanno una larghezza di banda doppia rispetto alle organizzazioni con Audit (Standard).

Conservazione a lungo termine dei log di controllo

Audit (Premium) conserva tutti i record di controllo di Exchange, SharePoint e Microsoft Entra per un anno. Questa operazione viene eseguita da un criterio di conservazione del log di controllo predefinito che mantiene qualsiasi record di controllo che contiene il valore di AzureActiveDirectory, Exchange, OneDrive o SharePoint, per la proprietà Workload (che indica il servizio in cui si è verificata l'attività) per un anno. Conservare i record di controllo per periodi più lunghi può essere utile per le indagini forensi o di conformità in corso. Per altre informazioni, vedere la sezione "Criterio di conservazione dei log di controllo predefinito" in Gestire i criteri di conservazione dei log di controllo.

Oltre alle funzionalità di conservazione di un anno di Audit (Premium), è stata rilasciata anche la funzionalità di conservazione dei log di controllo per 10 anni. Il periodo di conservazione di 10 anni dei log di audit consente di supportare le indagini lunghe e rispondere a obblighi normativi, legali e interni.

Nota

La conservazione dei log di controllo per 10 anni richiede una licenza aggiuntiva per ogni componente aggiuntivo per utente. Dopo che questa licenza è stata assegnata a un utente e un criterio di conservazione del registro di controllo di 10 anni è stato impostato per quell'utente, i log di audit coperti da tale criterio inizieranno a essere conservati per un periodo di 10 anni. Questo criterio non è retroattivo e non consente di conservare i log di audit generati prima della creazione del criterio di conservazione di 10 anni.

Criteri di conservazione dei log di audit

Tutti i record di controllo generati in altri servizi che non sono coperti dai criteri di conservazione predefiniti del log di controllo (descritti nella sezione precedente) vengono conservati per 180 giorni. Ma è possibile creare criteri di conservazione dei log di controllo personalizzati per conservare altri record di controllo per periodi più lunghi, fino a 10 anni. Si può creare un criterio per conservare i record di controllo in base a uno o più dei seguenti criteri:

  • Servizio Microsoft in cui si verificano le attività controllate.

  • Le specifiche attività controllate.

  • L'utente che esegue un'attività controllata.

Importante

Il periodo di conservazione predefinito per Audit (Standard) è cambiato da 90 giorni a 180 giorni. I log di controllo (standard) generati prima del 17 ottobre 2023 vengono conservati per 90 giorni. I log di controllo (standard) generati il 17 ottobre 2023 o successivi seguono la nuova conservazione predefinita di 180 giorni. È anche possibile specificare per quanto tempo conservare i record di controllo che corrispondono ai criteri e a un livello di priorità in modo che criteri specifici abbiano la priorità rispetto ad altri criteri. Si noti inoltre che qualsiasi criterio di conservazione dei log di controllo personalizzato ha la precedenza sui criteri di conservazione di controllo predefiniti nel caso in cui sia necessario conservare i record di controllo di Exchange, SharePoint o Azure Active Directory per meno di un anno (o per 10 anni) per alcuni o tutti gli utenti dell'organizzazione. Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo.

Importante

La durata dell'elemento di controllo per i dati viene determinata quando viene aggiunta alla pipeline di controllo e si basa sulle impostazioni predefinite delle licenze o sui criteri di conservazione applicabili. Eventuali modifiche alle licenze o ai criteri di conservazione applicabili modificano l'ora di scadenza dei dati di controllo dopo l'aggiornamento. Queste modifiche non modificano gli elementi di cui è stato eseguito il commit in precedenza.

Proprietà dell'attività Di controllo (Premium)

Audit (Premium) aiuta le organizzazioni a svolgere indagini forensi o di conformità fornendo accesso a eventi importanti, come quando l'utente accede a elementi di posta elettronica, invia risposte e li inoltra, oppure quando e cosa gli utenti hanno cercato in Exchange Online e SharePoint Online. Questi eventi consentono di indagare sulle possibili violazioni e stabilire la portata della compromissione. Oltre a questi eventi in Exchange e SharePoint, esistono eventi in altri servizi Microsoft che sono considerati eventi importanti e richiedono che agli utenti sia assegnata la licenza Di controllo (Premium) appropriata. Agli utenti deve essere assegnata una licenza Di controllo (Premium) in modo che i log di controllo vengano generati quando gli utenti eseguono questi eventi.

Queste attività richiedono che agli utenti sia assegnata la licenza di controllo (Premium) appropriata. Agli utenti deve essere assegnata una licenza Di controllo (Premium) in modo che i log di controllo vengano generati quando gli utenti eseguono queste attività e proprietà.

Audit (Premium) consente di accedere alle proprietà di attività seguenti:

Exchange Online

Attività Proprietà
MailItemsAccessed SensitivityLabel

Microsoft Teams

Attività Proprietà
ChatCreato AppAccessContext
ChatRetrieved AppAccessContext
ChatUpdated AppAccessContext
MeetingParticipantDetail IsJoinedFromLobby
ArtifactShared
MessageCreatedNotification AppAccessContext
MessageDeletedNotification AppAccessContext
MessageHostedContentsListed AppAccessContext
MessageHostedContentRead AppAccessContext
MessagesListed AppAccessContext
MessageRead AppAccessContext
MessageSent AppAccessContext
ParticipatingDomainInformation
ParticipantInfo
MessageUpdated ParticipantInfo
AppAccessContext
MessageUpdatedNotification AppAccessContext
SubscribedToMessages AppAccessContext

Accesso a larghezza di banda elevata all'API Office 365 Management Activity

Le organizzazioni che accedono ai log di controllo con l'API Office 365 Management Activity erano vincolate da limitazioni a livello di publisher. Questo significa che per un publisher che estrae dati per conto di più clienti, il limite era condiviso da tutti i clienti.

Con Audit (Premium), questa operazione è passata da un limite a livello di server di pubblicazione a un limite a livello di tenant. Il risultato è che ogni organizzazione ottiene la propria quota di larghezza di banda completamente allocata per accedere ai dati di controllo. La larghezza di banda non è un limite statico predefinito, ma è modellata su una combinazione di fattori, tra cui il numero di postazioni nell'organizzazione e che le organizzazioni E5/A5/G5 ottengono più larghezza di banda rispetto alle organizzazioni non E5/A5/G5.

A tutte le organizzazioni viene inizialmente assegnata una baseline di 2.000 richieste al minuto. Questo limite aumenta dinamicamente a seconda del numero di posti e della sottoscrizione delle licenze di un'organizzazione. Le organizzazioni E5/A5/G5 ottengono circa il doppio della larghezza di banda rispetto alle organizzazioni non E5/A5/G5. È previsto un limite per la larghezza di banda massima per proteggere l'integrità del servizio.

Per altre informazioni, vedere la sezione Limitazione delle richieste API in informazioni di riferimento sull'API Office 365 Management Activity.

Requisiti di licenza

Prima di iniziare, esaminare i requisiti di sottoscrizione per Audit (Standard) e Audit (Premium).

Formazione

Formare il team delle operazioni di sicurezza, gli amministratori IT e il team di indagine della conformità nelle nozioni fondamentali per Audit (Standard) e Audit (Premium) consente all'organizzazione di iniziare a sfruttare più rapidamente le funzionalità di controllo e facilitare le indagini. Per consentire agli utenti dell'organizzazione di iniziare a eseguire il controllo, Microsoft Purview offre la risorsa seguente: Descrivere le funzionalità di eDiscovery e di controllo di Microsoft Purview.