首先啟用合規(guī)中心審計(jì)功能，登錄Microsoft365合規(guī)中心，進(jìn)入“治理>審計(jì)”頁面并開啟記錄，確保勾選郵件發(fā)送、文件訪問等關(guān)鍵操作；隨后使用搜索功能審查日志，設(shè)置時(shí)間范圍、操作類型（如SendMail、ViewFile）、用戶或資源進(jìn)行篩選；可導(dǎo)出CSV格式日志用于SIEM分析，通過通知中心下載完成的導(dǎo)出文件；為實(shí)現(xiàn)實(shí)時(shí)監(jiān)控，配置警報(bào)策略，針對(duì)DeleteMailbox、AdminRoleAdded等高風(fēng)險(xiǎn)操作設(shè)置頻率閾值和郵件通知；定期審查UserLoggedIn等登錄活動(dòng)，結(jié)合IP地址識(shí)別異常地理位置或設(shè)備，及時(shí)處置可疑行為。

如果您在使用Office365時(shí)需要確保組織的操作符合安全與合規(guī)要求，可能需要通過合規(guī)中心審計(jì)功能來追蹤用戶活動(dòng)和系統(tǒng)事件。啟用并審查審計(jì)日志可以幫助識(shí)別異常行為或滿足內(nèi)部審計(jì)需求。

本文運(yùn)行環(huán)境：DellXPS13，Windows11

一、啟用合規(guī)中心審計(jì)功能

在審查審計(jì)日志之前，必須確保已啟用審核功能，否則系統(tǒng)不會(huì)記錄相關(guān)操作事件。默認(rèn)情況下，部分Office365租戶可能未開啟審計(jì)功能。

1、登錄到Microsoft365合規(guī)中心（https://compliance.microsoft.com）。

2、導(dǎo)航至“治理”>“審計(jì)”頁面。

3、點(diǎn)擊“開始記錄用戶活動(dòng)”以啟用審核功能。

4、確認(rèn)所有關(guān)鍵的審核選項(xiàng)已被勾選，包括郵件發(fā)送、文件訪問、權(quán)限更改等。

二、使用搜索功能查詢審計(jì)日志

合規(guī)中心提供強(qiáng)大的日志搜索能力，允許管理員根據(jù)時(shí)間范圍、用戶、操作類型等條件篩選審計(jì)記錄。

1、進(jìn)入合規(guī)中心的“審計(jì)”日志搜索界面。

2、設(shè)置時(shí)間范圍，例如過去7天或自定義起止日期。

3、在操作類型字段中選擇要審查的行為，如"SendMail"、"ViewFile"或"AddedUserToRole"。

4、可選地指定特定用戶、資源（如文件名或郵箱）進(jìn)行精確過濾。

5、點(diǎn)擊“搜索”按鈕執(zhí)行查詢，并等待結(jié)果返回。

三、導(dǎo)出審計(jì)日志用于外部分析

當(dāng)需要將審計(jì)數(shù)據(jù)導(dǎo)入SIEM系統(tǒng)或進(jìn)行離線分析時(shí)，可以將日志結(jié)果導(dǎo)出為CSV格式文件。

1、完成審計(jì)搜索后，點(diǎn)擊結(jié)果頁面上方的“導(dǎo)出結(jié)果”按鈕。

四、配置警報(bào)規(guī)則監(jiān)控高風(fēng)險(xiǎn)操作

為了實(shí)現(xiàn)實(shí)時(shí)監(jiān)控，可以通過創(chuàng)建警報(bào)策略對(duì)敏感操作自動(dòng)觸發(fā)通知。

1、進(jìn)入合規(guī)中心的“警報(bào)策略”管理頁面。

2、選擇“新建警報(bào)策略”，命名為“高風(fēng)險(xiǎn)審計(jì)操作監(jiān)控”。

3、在條件設(shè)置中添加多個(gè)高危操作類型，例如“DeleteMailbox”、“DownloadedMultipleFiles”或“AdminRoleAdded”。

4、設(shè)定觸發(fā)頻率閾值，如“每小時(shí)內(nèi)超過5次”即觸發(fā)警報(bào)。

5、配置通知方式，選擇發(fā)送電子郵件給指定的安全團(tuán)隊(duì)成員。

五、定期審查審計(jì)日志中的登錄活動(dòng)

用戶登錄行為是安全審查的重要組成部分，異常登錄可能表明賬戶存在風(fēng)險(xiǎn)。

1、在審計(jì)搜索中選擇操作類型為“UserLoggedIn”或“InteractiveLogin”。

2、重點(diǎn)關(guān)注來自非常用設(shè)備或地理位置的登錄嘗試。

3、結(jié)合IP地址信息判斷是否存在跨境或可疑網(wǎng)絡(luò)來源。

4、發(fā)現(xiàn)異常時(shí)，立即檢查該用戶的其他操作記錄，并考慮臨時(shí)禁用賬戶。

以上就是Office365如何監(jiān)控合規(guī)中心審計(jì)_Office365審計(jì)監(jiān)控的日志審查的詳細(xì)內(nèi)容，！