이 문서에서는 Microsoft 365 감사 로그의 호주 정부 조직에 대한 지침을 제공합니다. PSPF(보호 보안 정책 프레임워크) 및 ISM(정보 보안 매뉴얼)에 설명된 요구 사항을 준수하면서 정부 조직이 보안 및 규정 준수 완성도를 높일 수 있도록 돕기 위한 것입니다.
Microsoft 365 감사 로그는 Microsoft 365 플랫폼에서 여러 서비스 및 애플리케이션의 이벤트를 캡처하는 통합 로깅 서비스입니다. Exchange Online, SharePoint, OneDrive, Microsoft Teams, Power BI 등과 같은 Microsoft 365 서비스에 대한 감사 데이터를 볼 수 있는 단일 위치를 제공합니다.
감사 로그를 사용하여 민감도 레이블 지정과 관련된 활동을 포함하여 organization 사용자 및 관리자 활동을 추적할 수 있습니다. 감사 로그에 캡처된 Microsoft Purview 및 DLP(데이터 손실 방지) 이벤트에 대한 자세한 내용은 Microsoft 365 Management를 통한 Microsoft Purview 감사 로그 활동을 참조하세요.
감사 로그는 다음과 같이 Microsoft Purview 배포에 중요합니다.
- 감사 로그는 항목에 레이블을 적용한 사용자에 대한 결정을 유지합니다.
- 감사 로그는 레이블 변경 근거를 포함하여 레이블 변경에 대한 정보를 유지합니다.
- 감사 로그는 들어오고 나가는 항목에 대한 정보를 제공합니다.
- 감사 로그는 Microsoft 365 활동이 표시되는 다른 보고 위치보다 더 오랜 기간 동안 이벤트에 대한 가시성을 제공합니다(예: 이벤트는 30일 동안 활동 탐색기에 표시됨).
감사 로그 보존 요구 사항
연장 보존의 필요성은 다음 ISM 요구 사항에 따라 적용됩니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| ISM-1988(2025년 3월) | 이벤트 로그는 최소 12개월 동안 검색 가능한 방식으로 유지됩니다. |
감사 로그 데이터가 보존되는 기본 기간은 Microsoft 365 라이선스 수준에 연결됩니다. E3 라이선스가 있는 조직에는 90일 동안 감사 로그 보존이 있습니다. E5 라이선스가 있는 조직은 Microsoft Entra, Exchange Online, OneDrive 및 SharePoint에 대해 1년 동안 보존합니다. 따라서 E5 라이선스가 있는 조직은 ISM-1998을 충족할 수 있습니다.
ISM-1989는 Microsoft 365 감사 로깅과도 관련이 있습니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| ISM-1989(2025년 3월) | 이벤트 로그는 호주 AFDA Express(관리 기능 삭제 기관 Express) 버전 2 게시의 국가 기록 보관소에 명시된 다양한 레코드 클래스에 대한 최소 보존 요구 사항에 따라 보존됩니다. |
AFDA Express 요구 사항은 AFDA Express 버전 2 – 기술 & 정보 관리에서 액세스할 수 있습니다.
AFDA Express는 다음을 명시합니다.
정보 보안 매뉴얼은 이벤트 로그가 이벤트 모니터링 활동에 필수적이므로 시스템 수명 동안 또는 잠재적으로 더 오래 보존되어야 하며, 이 경우 기관이 정보 시스템에 대한 기관의 위험 관리 프레임워크에 적합하게 유지되어야 한다고 지적합니다.
AFDA Express 클래스 번호 62625는 Microsoft 365 로그 보존과도 관련이 있을 수 있습니다.
| 요구 사항 | 자세한 정보 | 삭제 작업 |
|---|---|---|
| AFDA Express 클래스 62625 | (비즈니스) 기능 및 기술 및 정보 관리 활동을 지원하는 일상적인 운영 관리 작업을 문서화하는 레코드 | 작업이 완료된 후 7년 후 삭제 |
조직은 로그 보존 요구 사항을 신중하게 고려하고 Microsoft 365 감사 로깅을 추가로 유지하는 메커니즘이 필요한지 여부를 결정해야 합니다.
감사 로그 보존 정책을 사용하여 활동 집합에 대한 감사 정보의 보존을 확장할 수 있습니다. 여기에는 관리 함수가 포함될 수 있습니다. 감사 정책은 최대 10년 동안 감사 정보를 유지하도록 구성할 수 있습니다.
감사 정보의 장기 보존에는 감사(프리미엄) 라이선스가 필요합니다. 감사 로그 보존에 대한 자세한 내용은 Microsoft Purview의 감사 솔루션을 참조하세요.
SIEM 통합
SIEM(보안 정보 및 이벤트 관리 시스템)은 organization 비즈니스 운영에 해를 끼치기 전에 보안 위협을 탐지, 분석 및 대응할 수 있도록 설계되었습니다. SIEM은 로그 정보를 수집하고 이벤트 분석을 제공합니다. SIEM은 위협 탐지 속도를 높이고, 보안 인시던트, 이벤트 관리 및 규정 준수를 지원하는 데 사용됩니다.
Microsoft Sentinel 은 SIEM 및 SOAR(보안 오케스트레이션, 자동화 및 응답)에 대한 지능적이고 포괄적인 솔루션을 제공하는 확장 가능한 클라우드 네이티브 SIEM입니다. 즉, Microsoft Sentinel(또는 동등한 SIEM) 에 수집된 Microsoft Purview 이벤트는 쉽게 분석되고 고급 보고서를 생성할 수 있습니다.
Microsoft 365 감사 로그 데이터를 수집하도록 Microsoft Sentinel을 구성하는 방법에 대한 자세한 내용은 Microsoft Sentinel에서 Office 365 감사 데이터를 사용하는 방법을 참조하세요.