Microsoft Purview の監査ソリューションについて説明します
Microsoft Purview 監査ソリューションは、セキュリティ イベント、フォレンジック調査、内部調査、コンプライアンス義務に組織が効果的に対応するための統合ソリューションが用意されています。 数十の Microsoft サービスとソリューションで実行された何千ものユーザー操作と管理者操作がキャプチャされ、記録され、organizationの統合監査ログに保持されます。 これらのイベントの監査記録は、組織内のセキュリティ オペレーション、IT 管理者、インサイダー リスク チーム、コンプライアンスや法務調査担当者が検索できます。 この機能により、organization全体で実行されるアクティビティが可視化されます。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
主要機能の比較
次の表は、監査 (標準) と監査 (プレミアム) で使用できる主な機能を比較したものです。 すべての監査 (標準) 機能は、監査 (プレミアム) に含まれています。
機能 | 監査 (標準) | 監査 (プレミアム) |
---|---|---|
既定で有効 | ||
検索可能な数千件の監査イベント | ||
Microsoft Purview ポータルとコンプライアンス ポータルの監査検索ツール | ||
監査検索Graph API | ||
Search-UnifiedAuditLog コマンドレット | ||
監査記録を CSV ファイルにエクスポートします | ||
Office 365 マネージメント アクティビティ API 1 を介した監査ログにアクセスする | ||
180 日間の監査ログ保有期間 | ||
1 年間の監査ログの保持 | ||
10 年間の監査ログの保持 2 | ||
監査ログの保持ポリシー | ||
インテリジェントな分析情報 |
注:
1 監査 (プレミアム) には、Office 365 マネージメント アクティビティ API へのより高い帯域幅のアクセスが含まれており、監査データへのアクセスが高速化されます。
2 監査 (Premium) に必要なライセンス (次のセクションで説明します) に加えて、監査レコードを 10 年間保持するには、ユーザーに 10 年間の監査ログ保持アドオン ライセンスを割り当てる必要があります。
監査 (標準)
Microsoft Purview 監査 (標準) では、監査されたアクティビティのログや検索を行い、フォレンジック調査、IT 調査、コンプライアンス調査、法務調査などに役立てることができます。
既定で有効。 監査 (標準) は、適切なサブスクリプションを持つすべての組織で既定でオンになります。 つまり、監査されたアクティビティのレコードがキャプチャされ、検索可能になります。 必要な設定は、監査ログ検索ツール (および対応するコマンドレット) にアクセスするために必要なアクセス許可を割り当て、ユーザーに Microsoft Purview 監査 (プレミアム) 機能の正しいライセンスが割り当てられていることを確認することだけです。
検索可能な数千件の監査イベント。 organizationのほとんどの Microsoft サービスで発生する監査アクティビティの範囲を検索できます。 検索できるアクティビティの一覧については、「 監査ログ アクティビティ」を参照してください。 監査活動をサポートするサービスや機能のリストについては、「監査ログ記録タイプ」を参照してください。
Microsoft Purview ポータルまたはコンプライアンス ポータルの監査検索ツール。 ポータルの監査ログ検索ツールを使用して、監査レコードを検索します。 特定のアクティビティ、特定のユーザーが行ったアクティビティ、日付の範囲内で発生したアクティビティを検索できます。
監査検索Graph API。 Microsoft Graph では、1 つの応答で複数の Microsoft クラウド サービスからデータにアクセスするための統合 API エンドポイントが提供されます。 監査検索Graph APIを使用すると、Microsoft Graph を介して監査検索エクスペリエンスにプログラムでアクセスできます。
Search-UnifiedAuditLog コマンドレット。 Exchange Online PowerShell の Search-UnifiedAuditLog コマンドレット (検索ツールの基礎となるコマンドレット) を使用して、監査イベントを検索したり、スクリプトで使用したりすることができます。 詳細については、以下を参照してください。
監査記録を CSV ファイルにエクスポートします。 Microsoft Purview ポータルまたはコンプライアンス ポータルで監査ログ検索ツールを実行した後、検索によって返された監査レコードを CSV ファイルにエクスポートできます。 これにより、Microsoft Excel を使用して、異なる監査レコードのプロパティで並べ替えやフィルター処理を行うことができます。 また、Excel Power Query の変換機能を使って、AuditData JSON オブジェクトの各プロパティを個別の列に分割することもできます。 これにより、異なるイベントの類似データを効果的に表示し、比較することができます。 詳細については、「監査ログ レコードをエクスポート、構成、表示する」を参照してください。
Office 365 マネージメント アクティビティ API を介した監査ログにアクセスします。 監査記録にアクセスして取得する 3 つ目の方法は、Office 365 マネージメント アクティビティ API を使用することです。 これにより、組織は監査データを既定の 180 日よりも長い期間保持し、監査データを SIEM ソリューションにインポートできます。 詳細については、「Office 365 管理アクティビティ API のリファレンス」を参照してください。
180 日間の監査ログの保持。 監査されたアクティビティがユーザーや管理者によって実行されると、監査記録が生成され、組織の監査ログに保存されます。 監査 (標準) では、レコードは 180 日間保持されます。つまり、過去 6 か月以内に発生したアクティビティを検索できます。
重要
監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、新しい既定の保持期間の 180 日に従います。
監査 (プレミアム)
重要
クラシック検索は、2023 年 11 月 30 日に廃止されました。 新しい検索 には、検索時間の短縮、追加の検索オプション、検索を保存する機能などの拡張機能が含まれています。
監査 (Premium) は、監査ログ保持ポリシー、監査レコードの長いリテンション期間、価値の高いインテリジェントな分析情報、Office 365 Management Activity API への高帯域幅アクセスを提供することで、監査 (Standard) の機能に基づいています。
- 監査ログの保持ポリシー。 カスタマイズした監査ログの保持ポリシーを作成すれば、最大 1 年間 (必要なアドオン ライセンスを持つユーザーは最大 10 年間)、長期にわたって監査レコードを保持できます。 監査されたアクティビティが発生するサービス、特定の監査されたアクティビティ、または監査されたアクティビティを実行するユーザーに基づいて、監査記録を保持するポリシーを作成することができます。
- 監査記録の長期保持。 Microsoft Entra ID、Exchange、OneDrive、および SharePoint の監査レコードは、既定で 1 年間保持されます。 他のすべてのアクティビティの監査レコードは、既定で 180 日間保持されます。または、監査ログ保持ポリシーを使用して、より長い保持期間を構成できます。
- 監査 (Premium) インテリジェントな分析情報。 インテリジェントな分析情報の監査レコードを使用すると、organizationは、メール アイテムがいつアクセスされたか、メール アイテムがいつ返信および転送されたか、ユーザーがExchange Onlineや SharePoint Online で検索したタイミングと内容などのイベントを可視化することで、フォレンジックとコンプライアンスの調査を行うのに役立ちます。 これらのインテリジェントな分析情報は、侵害の可能性を調査し、侵害の範囲を特定するのに役立ちます。
- Office 365 管理アクティビティ API への高帯域幅。 監査 (プレミアム) は、組織が Office 365 マネージメント アクティビティ API を通じて監査ログにアクセスするための帯域幅を増やします。 すべての組織 (監査 (標準) または監査 (プレミアム) を使用している組織) には、最初に 1 分あたり 2,000 リクエストの基準値が割り当てられますが、この制限は、組織のシート数とライセンス サブスクリプションに応じて動的に増加します。 この結果、監査 (プレミアム) を導入した組織は、監査 (標準) を導入した組織の約 2 倍の帯域幅を得ることができます。
監査ログの長期保持
監査 (Premium) では、すべての Exchange、SharePoint、およびMicrosoft Entra監査レコードが 1 年間保持されます。 これは、ワークロード プロパティ (アクティビティが発生したサービスを示す) の AzureActiveDirectory、Exchange、OneDrive、または SharePoint の値を含む監査レコードを 1 年間保持する既定の監査ログ保持ポリシーによって実現されます。 監査レコードの長期間にわたる保持は、継続的なフォレンジック調査やコンプライアンス調査に役立ちます。 詳細については、「監査ログの保持ポリシーの管理」の「既定の監査ログの保持ポリシー」セクションを参照してください。
監査 (Premium) の 1 年間の保持機能に加えて、監査ログを 10 年間保持する機能もリリースしました。 監査ログを 10 年間保持することで、長期間にわたる調査や、規制上、法律上、および組織内の義務への対応をサポートします。
注:
監査ログを 10 年間保持するには、追加のユーザーごとのアドオン ライセンスが必要です。 このライセンスがユーザーに割り当てられ、適切な 10 年間の監査ログ保持ポリシーがそのユーザーに対して設定されると、そのポリシーの対象の監査ログは以降 10 年間保持されるようになります。このライセンスがユーザーに割り当てられ、適切に 10 年間の監査ログ保持ポリシーが設定されると、そのポリシーが担保する監査ログは以降 10 年間保持されるようになります。 このポリシーは遡及的ではなく、10 年間の監査ログ保持ポリシーが作成される前に生成された監査ログを保持することはできません。
監査ログの保持ポリシー
既定の監査ログ保持ポリシー (前のセクションで説明) でカバーされていない他のサービスで生成されたすべての監査レコードは、180 日間保持されます。 ただし、カスタマイズした監査ログの保持ポリシーを作成すれば、最大 10 年間、長期にわたって他の監査レコードを保持できます。 次の 1 つ以上の基準に基づいて、監査レコードを保持するポリシーを作成できます。
監査されたアクティビティが発生する Microsoft サービス。
特定の監査されたアクティビティ。
監査されたアクティビティを実行するユーザー。
重要
監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、新しい既定の保持期間の 180 日に従います。 また、特定のポリシーが他のポリシーよりも優先されるように、ポリシーと優先度レベルに一致する監査レコードを保持する期間を指定することもできます。 また、organizationの一部またはすべてのユーザーに対して Exchange、SharePoint、または Azure Active Directory の監査レコードを 1 年未満 (または 10 年間) 保持する必要がある場合は、カスタム監査ログ保持ポリシーが既定の監査アイテム保持ポリシーよりも優先されることに注意してください。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。
重要
データの監査項目の有効期間は、監査パイプラインに追加されたときに決定され、ライセンスの既定値または適用可能な保持ポリシーに基づいています。 ライセンスまたは適用可能な保持ポリシーに対する変更は、更新後に監査データの有効期限を変更します。 これらの変更によって、以前にコミットされた項目は変更されません。
監査 (Premium) アクティビティのプロパティ
監査 (プレミアム) は、いつメール項目がアクセスされたか、いつメール項目が返信されたか、または転送されたか、ユーザーがいつ何を Exchange Online や SharePoint Online で検索したかなどの重要なイベントへのアクセスを提供することで、組織によるフォレンジック調査やコンプライアンス調査の実施をサポートします。 これらのイベントは、起こりうる侵害を調査し、侵害の範囲を決定するのに役立ちます。 Exchange および SharePoint のこれらのイベントに加えて、重要なイベントと見なされ、ユーザーに 適切な監査 (Premium) ライセンスを割り当てる必要がある他の Microsoft サービスのイベントもあります。 ユーザーがこれらのイベントを実行するときに監査ログが生成されるように、ユーザーに監査 (Premium) ライセンスを割り当てる必要があります。
これらのアクティビティでは、ユーザーに 適切な監査 (Premium) ライセンスが割り当てられている必要があります。 ユーザーがこれらのアクティビティとプロパティを実行するときに監査ログが生成されるように、ユーザーに監査 (Premium) ライセンスを割り当てる必要があります。
Audit (Premium) では、次のアクティビティ プロパティにアクセスできます。
Exchange Online
アクティビティ | プロパティ |
---|---|
MailItemsAccessed | SensitivityLabel |
Microsoft Teams
アクティビティ | プロパティ |
---|---|
ChatCreated | AppAccessContext |
ChatRetrieved | AppAccessContext |
ChatUpdated | AppAccessContext |
MeetingParticipantDetail | IsJoinedFromLobby ArtifactShared |
MessageCreatedNotification | AppAccessContext |
MessageDeletedNotification | AppAccessContext |
MessageHostedContentsListed | AppAccessContext |
MessageHostedContentRead | AppAccessContext |
MessagesListed | AppAccessContext |
MessageRead | AppAccessContext |
MessageSent | AppAccessContext ParticipatingDomainInformation ParticipantInfo |
MessageUpdated | ParticipantInfo AppAccessContext |
MessageUpdatedNotification | AppAccessContext |
SubscribedToMessages | AppAccessContext |
Office 365 管理アクティビティ API への高帯域幅アクセス
Office 365 管理アクティビティ API を使用して監査ログにアクセスする組織は、発行者レベルの調整制限により制限されていました。 つまり、発行者が複数のお客様に代わってデータをプルする場合、制限はそれらすべてのお客様で共有されていました。
監査 (Premium) では、発行元レベルの制限からテナント レベルの制限に変更されました。 その結果、各organizationは、監査データにアクセスするために、独自の完全に割り当てられた帯域幅クォータを取得します。 帯域幅は静的で定義済みの制限ではありませんが、organizationのシート数や E5/A5/G5 組織が E5/A5/G5 以外の組織よりも多くの帯域幅を取得する要因の組み合わせでモデル化されています。
すべての組織には、最初に 1 分あたり 2,000 件の要求のベースラインが割り当てられます。 この制限は、organizationのシート数とライセンス サブスクリプションに応じて動的に増加します。 E5/A5/G5 組織は、E5/A5/G5 以外の組織の約 2 倍の帯域幅を取得します。 サービスの正常性を保護するために、最大帯域幅に上限があります。
詳細については、「Office 365 Management Activity API リファレンス」の「API調整」セクションを参照してください。
ライセンスの要件
開始する前に、監査 (Standard) と監査 (Premium) の サブスクリプション要件 を確認してください。
トレーニング
セキュリティ運用チーム、IT 管理者、コンプライアンス調査チームに監査 (標準) と監査 (プレミアム) の基礎についてトレーニングを行うことで、組織がより迅速に監査を利用して調査に役立てることができます。 Microsoft Purview は、組織内のこれらのユーザーが監査を始めるのに役立つ以下のリソースを提供します: Microsoft Purview の電子情報開示と監査機能を説明する。