Microsoft Purview 監査ソリューションを調べる
Microsoft Purview 監査ソリューションは、組織が以下に効果的に対応するのに役立つ統合ソリューションを提供します。
- セキュリティ イベント
- フォレンジック調査
- 内部調査
- 遵守義務
数十の Microsoft 365 サービスおよびソリューションで実行される何千ものユーザーおよび管理者操作が、組織の統合監査ログにキャプチャ、記録、および保持されます。 これらのイベントの監査記録は、組織内のセキュリティ オペレーション、IT 管理者、インサイダー リスク チーム、コンプライアンスおよび法務調査官によって検索可能です。 この機能により、Microsoft 365 組織全体で実行されるアクティビティを可視化できます。
Microsoft Purview 監査ソリューション
Microsoft Purview では、監査 (標準) と監査 (プレミアム) の 2 つの監査ソリューションが用意されています。
監査 (標準)
Microsoft Purview 監査 (標準) は、監査対象のアクティビティをログに記録して検索する機能を組織に提供します。 また、組織はフォレンジック、IT、コンプライアンス、および法的な調査を強化できます。
既定で有効。 監査 (標準) は、適切なサブスクリプションを持つすべての組織で既定でオンになります。 その結果、監査されたアクティビティの記録が取得され、検索可能になります。 必要な唯一のセットアップは、監査ログ検索ツール (および対応するコマンドレット) にアクセスするために必要なアクセス許可を割り当て、Microsoft Purview 監査 (プレミアム) 機能の適切なライセンスがユーザーに割り当てられていることを確認することです。
検索可能な数千件の監査イベント。 組織は、組織内のほとんどの Microsoft 365 サービスで発生する、監査対象のさまざまなアクティビティを検索できます。 検索できるアクティビティのリストの一部については、監査対象のアクティビティをご覧ください。 監査活動をサポートするサービスや機能のリストについては、「監査ログ記録タイプ」を参照してください。
Microsoft Purview コンプライアンス ポータルの監査検索ツール。 組織は、Microsoft Purview コンプライアンス ポータルの監査ログ検索ツールを使用して、監査レコードを検索できます。 以下を検索できます。
- 特定の活動
- 特定のユーザーによって実行されるアクティビティ
- 日付範囲内で発生したアクティビティ
Search-UnifiedAuditLog コマンドレット。 組織は、Exchange Online PowerShell の Search-UnifiedAuditLog コマンドレット (検索ツールの基になるコマンドレット) を使用して、監査イベントを検索したり、スクリプトで使用したりすることもできます。 詳細については、以下を参照してください。
監査記録を CSV ファイルにエクスポートします。 組織は、Microsoft Purview コンプライアンス ポータルで監査ログ検索ツールを実行した後、検索によって返された監査レコードを CSV ファイルにエクスポートできます。 そうすることで、Microsoft Excel は、さまざまな監査レコード プロパティで並べ替えとフィルター処理を行うことができます。 Excel Power Query を使用して機能を変換し、AuditData JSON オブジェクトの各プロパティを独自の列に分割することもできます。 このプロセスにより、さまざまなイベントの同様のデータを効果的に表示および比較できます。
Office 365 マネージメント アクティビティ API を介した監査ログにアクセスします。 監査記録にアクセスして取得する 3 つ目の方法は、Office 365 マネージメント アクティビティ API を使用することです。 この API を使用すると、組織は既定の 180 日間よりも長い期間監査データを保持できます。 また、監査データを SIEM ソリューションにインポートすることもできます。 詳細については、「Office 365 管理アクティビティ API のリファレンス」を参照してください。
180 日間の監査ログの保持。 監査対象のアクティビティがユーザーまたは管理者によって実行されると、監査レコードが生成され、組織の監査ログに保存されます。 Microsoft Purview Audit (Standard) では、レコードは 180 日間保持されます。 そのため、組織は過去 3 か月以内に発生したアクティビティを検索できます。
監査 (プレミアム)
監査 (プレミアム) は、監査 (標準) の機能をベースに、監査ログの保持ポリシー、監査記録の長期保持、価値の高い重要なイベント、Office 365 マネージメント アクティビティ API への高い帯域幅でのアクセスが用意されています。
監査ログの保持ポリシー。 監査 (プレミアム) を使用すると、組織はカスタマイズされた監査ログ保持ポリシーを作成して、監査記録を最大 1 年間 (必要なアドオン ライセンスを持つユーザーの場合は最大 10 年間) 保持できます。 組織は、以下に基づいて監査記録を保持するログ保持ポリシーを作成できます。
- 監査対象のアクティビティが発生したサービス。
- 特定の監査対象活動。
- 監査対象のアクティビティを実行したユーザー。
監査記録の長期保持。 Exchange、SharePoint、Microsoft Entra の監査レコードは、既定で 1 年間保持されます。 他のすべてのアクティビティの監査レコードは、既定で 180 日間保持されます。 監査 (プレミアム) では、組織は監査ログ保持ポリシーを使用して、より長い保持期間を構成できます。
高価値で重要な監査 (プレミアム) イベント。 重要なイベントの監査記録は、組織がフォレンジックおよびコンプライアンス調査を実施するのに役立ちます。 これは、次のようなイベントを可視化することによって実現されます。
- メール アイテムがアクセスされたとき。
- メールアイテムが返信および転送されたとき。
- ユーザーが Exchange Online と SharePoint Online でいつ、何を検索したか。
これらの重要なイベントは、組織が侵害の可能性を調査し、侵害の範囲を判断するのに役立ちます。
Office 365 管理アクティビティ API への高帯域幅。 監査 (プレミアム) は、組織が Office 365 マネージメント アクティビティ API を通じて監査ログにアクセスするための帯域幅を増やします。 Audit (標準) または Audit (プレミアム) を使用するすべての組織には、最初に 1 分あたり 2,000 リクエストのベースラインが割り当てられます。 ただし、この制限は、組織のシート数とライセンス サブスクリプションに応じて動的に増加します。 そのため、Audit (プレミアム) を使用する組織は、Audit (標準) を使用する組織の約 2 倍の帯域幅を利用できます。
Microsoft Purview 監査 (プレミアム) については、後のモジュールで詳しく説明します。
主要機能の比較
次の表は、監査 (標準) と監査 (プレミアム) で使用できる主な機能を比較したものです。 すべての監査 (標準) 機能は、監査 (プレミアム) に含まれています。
| 機能 | 監査 (標準) | 監査 (プレミアム) |
|---|---|---|
| 既定で有効 | X | X |
| 検索可能な数千件の監査イベント | X | X |
| Microsoft Purview コンプライアンス ポータルの監査検索ツール | X | X |
| Search-UnifiedAuditLog コマンドレット | X | X |
| 監査記録を CSV ファイルにエクスポートします | X | X |
| Office 365 Management Activity API を介した監査ログへのアクセス (1) | X | X |
| 180 日間の監査ログ保有期間 | X | X |
| 1 年間の監査ログ保持 | X | |
| 10 年間の監査ログ保持 (2) | X | |
| 監査ログの保持ポリシー | X | |
| 価値の高い、重要なイベント | X |
脚注:
(1) 監査 (プレミアム) には、監査データへの高速アクセスを提供する Office 365 Management Activity API へのより高い帯域幅アクセスが含まれます。
(2) 監査 (プレミアム) に必要なライセンスに加えて、監査記録を 10 年間保持するには、10 年間の監査ログ保持アドオン ライセンスをユーザーに割り当てる必要があります。
理解度チェック
次の各質問に最適な回答を選択します。 次に、「自分の回答を確認します」を選択します。