SHD / MC Checker

MC711333 | Microsoft Purview | Audit: New logs for Standard users



MC711333 | Microsoft Purview | Audit: New logs for Standard users

Classification stayInformed
Last Updated 01/30/2024 23:49:28
Start Time 01/30/2024 23:48:52
End Time 03/04/2024 08:00:00
Action Required By Date 2024-11-04T08:00:00Z
Message Content

In Microsoft Purview, new standard logs will be available for Microsoft Exchange, Microsoft SharePoint, and Microsoft Teams workloads.

This message is associated with Microsoft 365 Roadmap IDs 182259 (Exchange and SharePoint) and 182242 (Teams).

[When this will happen:]

Public Preview: We will begin rolling out early-March 2024 and expect to complete by mid-June 2024.

Standard Release: We will begin rolling out late June 2024 and expect to complete by mid-September 2024.

[How this will affect your organization:]

Microsoft Purview is expanding access to wider cloud security activity events for Exchange, Teams, and SharePoint. As part of the changes, standard users of Purview Audit will begin to generate new Exchange, Teams, and SharePoint events that were previously generated only for Audit Premium licensed users.

Here are the new standard logs:

Exchange

  • Send
  • mailitemsaccessed
  • searchqueryinitiatedexchange

SharePoint

  • searchqueryinitiatedsharepoint

Teams

  • meetingparticipantdetail
  • messagesent
  • messageslisted
  • meetingdetail
  • messageupdated
  • chatretrieved
  • messageread
  • messagehostedcontentread
  • subscribedtomessages
  • messagehostedcontentslisted
  • chatcreated
  • chatupdated
  • messagecreatednotification
  • messagedeletednotification
  • messageupdatednotification

[What you need to do to prepare:]

The Exchange MailItemsAccessed and send logs are enabled by default unless the mailbox’s DefaultAuditSet settings were modified. To ensure these new standard logs are generated, an admin may need to ensure the appropriate mailbox settings are enabled.

Use this command to check if a mailbox is currently using the default audit settings:

  • Get-Mailbox -Identity <MailboxIdentity>

The DefaultAuditSet property is returned by the Get-Mailbox cmdlet. A mailbox using the defaults will show the following result:

  • DefaultAuditSet : {Owner,Admin,Delegate}

If any of those values are missing, the mailbox is not using the default audit settings. To ensure the new standard Exchange logs mailitemsaccessed and Send are stored, admins will either need to make sure Audit mailboxes are configured to the default settings or add the new standard logs to each mailbox. These changes can be made in Exchange Online PowerShell:

Option 1: Reset each mailbox to the default settings using this command:

  • Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet Admin,Delegate,Owner

Option 2: Add the new standard logs to each mailbox. This command will add (only) the new Standard logs for each mailbox, retaining any existing customization, but any future changes to the defaults will need to be added when those future logs are released:

  • Set-Mailbox -Identity <MailboxIdentity> -AuditOwner {@Add=&quot;MailItemsAccessed”,”Send” } -AuditAdmin {@Add=&quot;MailItemsAccessed”,”Send”} -AuditDelegate {@Add=&quot;MailItemsAccessed”}

For more information: How Microsoft is expanding cloud logging to give customers deeper security visibility | Microsoft Security Blog

Machine Translation

Microsoft Purview では、Microsoft Exchange、Microsoft SharePoint、Microsoft Teams ワークロードで新しい標準ログを利用できるようになります。

このメッセージは、Microsoft 365 ロードマップ ID 182259 (Exchange と SharePoint) と 182242 (Teams) に関連付けられています。

[これがいつ起こるか:]

パブリック プレビュー: 2024 年 3 月上旬にロールアウトを開始し、2024 年 6 月中旬までに完了する予定です。

標準リリース: 2024 年 6 月下旬にロールアウトを開始し、2024 年 9 月中旬までに完了する予定です。

[これが組織に及ぼす影響:]

Microsoft Purview は、Exchange、Teams、SharePoint のより広範なクラウド セキュリティ アクティビティ イベントへのアクセスを拡張しています。変更の一環として、Purview Audit の標準ユーザーは、以前は Audit Premium ライセンス ユーザーに対してのみ生成されていた新しい Exchange、Teams、SharePoint イベントの生成を開始します。

新しい標準ログは次のとおりです。

交換

  • 送信
  • メールアイテムアクセス
  • SearchQueryInitiatedExchange

SharePoint の

  • SearchQueryInitiatedSharePoint

チーム

  • meetingparticipantdetail (英語)
  • メッセージ送信済み
  • メッセージリスト {{めっせー
  • 会議の詳細
  • メッセージ更新済み
  • チャット取得済み
  • メッセージ読み取り
  • MessageHostedContentRead (メッセージ ホストされたコンテンツ読み取り)
  • subscribedtoメッセージ
  • MessageHostedContentsリスト
  • チャット作成済み
  • チャット更新済み
  • messagecreated通知
  • メッセージ削除通知
  • messageupdated通知

[準備に必要なこと:]

Exchange の MailItemsAccessed ログと 送信 ログは、メールボックスの DefaultAuditSet 設定が変更されていない限り、既定で有効になっています。これらの新しい標準ログが確実に生成されるようにするには、管理者は適切なメールボックス設定が有効になっていることを確認する必要がある場合があります。

次のコマンドを使用して、メールボックスが現在既定の監査設定を使用しているかどうかを確認します。

  • Get-Mailbox -Identity <MailboxIdentity>

DefaultAuditSet プロパティは、Get-Mailbox コマンドレットによって返されます。既定値を使用するメールボックスでは、次の結果が表示されます。

  • DefaultAuditSet : {所有者、管理者、代理人}

これらの値のいずれかが欠落している場合、メールボックスは既定の監査設定を使用していません。新しい標準 Exchange ログ mailitemsaccessed send が確実に保存されるようにするには、管理者は監査メールボックスが既定の設定に構成されていることを確認するか、新しい標準ログを各メールボックスに追加する必要があります。これらの変更は、Exchange Online PowerShell で行うことができます。

オプション 1: 次のコマンドを使用して、各メールボックスを既定の設定にリセットします。

  • Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet Admin,Delegate,Owner

オプション 2: 新しい標準ログを各メールボックスに追加します。このコマンドは、既存のカスタマイズを保持して、各メールボックスの新しい標準ログ (のみ) を追加しますが、既定値に対する将来の変更は、それらの将来のログがリリースされたときに追加する必要があります。

  • Set-Mailbox -Identity <MailboxIdentity> -AuditOwner {@Add=&quot;MailItemsAccessed”,”送信” } -AuditAdmin {@Add=&quot;MailItemsAccessed”,”送信”} -AuditDelegate {@Add=&quot;MailItemsAccessed”}

詳細については、「 Microsoft がクラウド ログを拡張して、お客様にセキュリティの可視性を高める方法 |Microsoft セキュリティ ブログ