M365基礎知識 Part 7- 資料合規

Microsoft Purview 是一套全面的解決方案，可協助組織"治理、保護和管理"數據，無論資料位於整個資料資產的何處。

在本文中，我們將介紹 Microsoft Purview 資料合規性解決方案以及它們如何協助組織"管理和監控"其資料、最大限度地降低合規性風險並滿足法規要求。

Purview的功能有：

• eDiscovery and Audit
• Compliance Manager
• Communication Compliance
• Records Management

稽核(Audit)

Microsoft Purview 中的稽核解決方案可協助組織有效回應資安事件、資安鑑識、內部調查和合規義務。所有在微軟所提供的產品、解決方案、使用者行為與裝置都會被擷取、記錄並保留在組織的統一稽核日誌中。組織中的安全操作人員、IT 管理員、內部風險團隊以及合規和法律調查人員可以搜尋這些事件的稽核記錄。此功能可讓組織了解整個 Microsoft 365 中所有組織執行的活動。Purview提供Standard與Premium版本。

Standard

預設情況下，標準稽核對於具有適當訂閱的所有組織處於都是開啟，並且有權限的使用者才能檢視。當使用者或管理員執行稽核活動時，也會產生稽核記錄並將其儲存在組織的稽核日誌中。此版本中，記錄保留 180 天。資安團隊可以使用下列方法擷取組織中大多數 Microsoft 365 服務中出現的稽核日誌：

1. Microsoft Purview 網站中的audit log search tool
2. Office 365 Management Activity API
3. Exchange Online PowerShell 中的 Search-UnifiedAuditLog cmdlet

搜尋稽核日誌後，組織可以將搜尋傳回的稽核記錄匯出至 CSV 文件，以便使用 Microsoft Excel 或 Excel Power Query 進行進一步分析。

Premium

此版本提供audit log retention policies、更長時間的稽核記錄保留、高價值的智慧見解以及對 Office 365 管理活動 API 的更高頻寬存取。

• 稽核記錄保留最長可達一年（對於具有所需附加授權的用戶，最長可達 10 年）
• Longer retention of audit records。 Microsoft Entra ID、Exchange、OneDrive 和 SharePoint 稽核記錄預設保留一年。預設情況下，所有其他活動的稽核記錄將保留 180 天，或者可以使用審核日誌保留策略來配置更長的保留期
• Audit intelligent insights。智慧見解的稽核記錄可以幫助組織進行取證和合規性調查，方法是提供事件的可見性，例如何時存取郵件項目、何時回覆和轉寄郵件項目、或使用者在Exchange Online 和SharePoint 中搜尋的時間和內容。這些智慧見解可以幫助資安團隊調查可能的違規行為並確定受有問題的範圍
• Office 365 管理活動 API 的頻寬較高。此版本為組織提供了更多頻寬來透過 Office 365 Management Activity API 存取稽核日誌

eDiscovery

eDiscovery是識別和提供可在法律案件中作為證據的電子資訊的過程。Microsoft Purview 網站提供eDiscovery功能，位於 Risk & Compliance set(如上圖)。

如果先前已透過 Microsoft Purview compliance portal使用eDiscovery，則主要區別在於組織將不再有eDiscovery的不同版本的不同 UI。根據組織的授權和訂閱，組織可以使用進階eDiscovery功能進一步管理案例並分析內容。

PS:eDiscovery可以透過 Microsoft Purview compliance portal進入，但該網站預計在2024年底退役。

組織可以使用 Microsoft Purview eDiscovery 來識別、檢視和管理 Microsoft 365 服務中的內容以支援資安團隊的調查。支援的 Microsoft 365 服務包括：

• Exchange Online
• Microsoft Teams
• Microsoft 365 Groups
• OneDrive
• SharePoint
• Viva Engage

eDiscovery workflow

eDiscovery workflow可協助資安團隊更快識別、調查組織中的ESI(electronic stored information)並採取措施。透過eDiscovery識別 ESI 項目並對其採取操作使用以下工作流程：

步驟 1：Escalate from trigger event：觸發事件是在組織中升級並提示在eDiscovery中建立新案例的活動。

步驟 2：Create and manage case：eDiscovery中的案例包含與特定調查相關的所有搜尋、保留和稽核集。

步驟 3：Search, evaluate results, and refine：建立案例後，使用eDiscovery中的內建搜尋工具來搜尋組織中的內容位置。

步驟 4: Actions include:

• 匯出搜尋結果
• 從搜尋結果建立review sets：review sets是 Microsoft cloud中 Microsoft 提供的安全性 Azure storage location。當我們將資料新增至review sets時，收集的項目將從其原始內容位置複製到review sets。review sets提供一組靜態的、已知的內容，資安團隊可以搜尋、過濾、標記和分析。
• 建立保留：資安團隊可以建立holds來保留可能與eDiscovery case相關的內容。

步驟 5： Review and take action from review sets:

• 進行分析：eDiscovery提供整合分析工具，可協助資安團隊進一步從review set中剔除我們確定與調查無關的資料。
• Tag items — 當專家、律師或其他使用者檢視review set中的內容時，可以使用標籤來擷取他們與內容相關的意見。
• Export items — 搜尋並找到與調查相關的資料後，我們可以將其從 Microsoft 365 organization中匯出，以供調查團隊以外的人員查看。

eDiscovery的功能與能力

以下為eDiscovery的常用功能，更多的功能可以參閱微軟網站的相關文件。

• Search for content：搜尋儲存在 Exchange 信箱、OneDrive 帳號、SharePoint 網站、Microsoft Teams、Microsoft 365 群組和 Viva Engage Teams 中的內容。
• Export search results：將搜尋結果匯出到組織中的本機電腦。
• Place content locations on hold：透過保留案例中的內容位置來保留與我們的調查相關的內容。保留(Holds)可讓我們保護電子儲存的資訊免於調查期間有意或無意的刪除。
• Review sets-我們可以使用預測編碼模型來搜尋、過濾、標記、分析和預測相關性。
• OCR(Optical character recognition)- 將內容新增至review sets時，OCR 功能會從影像中提取文本，並將影像文字與新增至review sets的內容一起包含在內。這使我們可以在查詢review sets中的內容時搜尋圖像文字。
• Conversation threading- 將來自 Teams 和 Viva Engage 對話的聊天訊息新增至review sets時，我們可以收集整個對話線索。

與Microsoft Copilot for Security的整合

Microsoft Purview eDiscovery 透過嵌入式體驗支援與 Microsoft Copilot for Security 整合。當組織已加入 Copilot、用Copilot 存取 Microsoft 365 服務中的資料並且具有適當的角色權限的使用者可以透過以下支援的功能體驗 Copilot 整合：

• 取得eDiscovery review sets中收集的證據的脈絡摘要
• 從自然語言到keyQL(keyword query language)查詢

資安團隊花費大量時間來檢視review sets中收集的證據。團隊可以使用 Microsoft Purview 中的 Copilot for Security 來幫忙檢視review sets中大多數項目的脈絡摘要(如下圖)。

提供的摘要位於所選項目中包含的文字脈絡中。此摘要可以快速識別標記或匯出項目時有用的資訊，從而為資安團隊節省時間。

Copilot for Security 總結了整個項目，包括文件、會議記錄或附件。也可以詢問有關摘要的後續脈絡問題。

Compliance Manager

Microsoft Purview Compliance Manager可自動評估和管理多雲環境中的合規性。Compliance Manager可在整個合規流程中為組織提供協助，從盤點資料保護風險到管理實施控制項的複雜性、遵守最新法規和認證以及給稽核人員的報告。

Compliance Manager透過提供以下功能來簡化合規性並降低風險：

• 基於一般性和產業法規和標準的預建評估(Prebuilt assessments)。管理員還可以使用自訂評估(custom assessment)來幫助滿足組織內部的合規性需求。
• 工作流程功能使管理員能夠有效率地完成組織的風險評估。
• 管理員可以採取的逐步改進措施，以協助滿足與組織相關的法規和標準。某些操作由 Microsoft 為組織代管。管理員可以獲得這些操作的實作細節和稽核結果。
• 合規分數(Compliance score)，這是一種計算方法，可透過量化改進行動的進展來幫助組織了解其整體合規狀況。

上圖的Compliance Manager儀表板顯示目前的合規分數，幫助管理員查看需要注意的內容，並指導他們採取關鍵的改進措施。

Compliance Manager使用多個資料種類來協助管理合規性活動。當管理者使用Compliance Manager來分配、測試和監控合規性活動時，對關鍵要素:控制、評估、法規和改進措施(controls, assessments, regulations, and improvement actions)等有基本的了解。

控制(Control)

控制是法規、標準或政策的要求。它定義如何評估和管理系統配置、組織流程以及負責達成"法規、標準或政策"的特定要求的人員。

Compliance Manager追蹤以下類型的控制項：

• Microsoft-managed controls：Microsoft 雲端服務的控制項，由 Microsoft 負責實行。
• 組織的控制項：這些控制由組織實施和管理。
• Shared controls：實施這些控制的責任由組織和 Microsoft 共同承擔。

Compliance Manager透過掃描組織的 Microsoft 365 環境並偵測系統設定來持續評估控制項，並持續自動更新組織的技術操作狀態。

評估(Assessments)

評估是來自特定法規、標準或政策的一組控制項。完成評估中的操作有助於達成"標準、法規或法律"的要求。例如，組織可能有一項評估，完成後有助於使組織的 Microsoft 365 設定符合 ISO 27001 要求。

評估由多個元件組成，包括範圍內的服務、Microsoft 託管控制、組織的控制、共用控制以及顯示完成合規性所需操作的進度的評估分數。

Compliance Manager有範本來幫助管理員快速建立評估。他們可以修改這些範本來創建最適合其需求的評估。組織所有評估都列在Compliance Manager的評估頁面上。

法規(Regulations)

此功能的法規頁面為其提供control-mapping templates的法規和認證清單。Compliance Manager提供了 360 多個監管模板，組織可以從中快速建立評估。

效益

Compliance Manager的效益如下:

• 將複雜的法規、標準、公司政策或其他安全控制框架翻譯成簡單的語言。
• 提供對各種開箱即用的評估和自訂評估的使用，以幫助組織達成其獨特的合規性需求。
• 根據建議的改進行動制定監管控制措施。
• 提供有關如何實施解決方案以滿足監管要求的逐步指導。
• 透過將分數與每個操作相關聯，幫助管理員和使用者確定對其組織合規性影響最大的操作的優先順序。

訊息的合規性

Microsoft Purview Communication Compliance是一種內部風險解決方案，可協助組織"偵測、擷取"可能導致組織內潛在資料安全或合規事件的不當訊息並對其採取行動。Communication Compliance評估Microsoft 和第三方應用程式（Teams、Viva Engage、Outlook、WhatsApp 等）中基於文字和圖像的訊息是否存在潛在的業務政策違規行為，包括不當共享敏感資訊、威脅或騷擾性語言以及潛在的監管行為違規行為。

Microsoft Purview Communication Compliance可以預先定義和自訂政策以進行檢查內部和外部通訊的政策匹配情況，進而指定的檢視者可以對其進行檢查。檢視者(Reviewer)可以調查組織中的電子郵件、Microsoft Teams、Microsoft Copilot for Microsoft 365、Viva Engage 或第三方通信，並採取適當的操作以確保它們符合組織的訊息標準。

透過RBAC，通訊合規性支援 IT 管理員和合規管理團隊之間的職責分離。例如，組織的 IT 團隊可能負責設定通訊合規性角色權限、群組和政策，調查員和檢視員可能負責訊息分類、審閱和緩解操作。

在 Microsoft Purview 中識別和解決通訊合規性問題使用以下工作流程：

• Cinfigure — 在此步驟中，管理員確定合規性要求並配置適用的通訊合規性政策。
• Investigate — 管理員更深入地研究在匹配組織的通訊合規性政策時偵測到的問題。提供協助的工具和步驟包括告警、幫助修復的問題管理、文件檢視、檢視使用者歷史記錄和過濾器。
• Remediate— 修正通訊合規性問題。選項包括處裡告警、標記訊息、通知使用者、升級給另一位檢視者、將告警標記為誤報、刪除 Teams 中的訊息以及升級以進行調查。
• Monitor — 追蹤和管理整個工作流程中通訊合規性政策所識別的合規性問題。通訊合規性儀表板、匯出日誌以及統一稽核日誌中記錄的事件可用於持續評估和改進合規狀況。

Communication compliance policies可以幫助檢視訊息的一些重要合規領域包括：

• 公司政策 — 使用者必須在日常業務通訊中遵守公司政策，例如使用和道德標準。透過通訊合規性，管理員可以掃描整個組織內的使用者通信，以尋找潛在的攻擊性語言或騷擾問題。
• 風險管理 — 通訊合規性可以幫助管理員掃描有關被視為機密的項目的未經授權的通信。
• 監管合規性－大多數組織在日常營運過程中都應該遵循一些監管合規標準。例如，法規可能要求組織檢視其重要業務角色的通訊，以防止潛在的內幕交易、洗錢或賄賂。通訊合規性使組織能夠以滿足其要求的方式掃描和報告這些類型的通訊。

資料生命週期管理(Data Lifecycle Management)

Microsoft Purview 資料生命週期管理提供了工具和功能來保留需要保留的內容並刪除不需要的內容。出於合規性和監管要求，通常需要保留和刪除電子郵件、文件和訊息。但是，刪除不再具有商業價值的內容也會減少組織的攻擊面。

保留政策與保留標籤(Retention policies and retention labels)

保留策略和保留標籤是資料生命週期管理的重要工具。它們透過確保內容只需要保留的時間，之後就永久刪除，幫助組織管理和治理資訊。應用保留標籤和分配保留政策可以幫助組織：

• 主動遵守要求內容保留最短時間的產業法規和內部政策。
• 透過永久刪除組織不再需要保留的舊內容，降低發生訴訟或安全漏洞時的風險。
• 確保使用者只使用最新且與其相關的內容。不再相關的內容應刪除。

管理內容通常只有兩種操作：保留和刪除

• 保留內容可防止永久刪除並確保內容仍可用於eDiscovery。
• 刪除內容會從組織中永久刪除。

透過這兩種操作，組織可以為以下結果配置保留設定：

• Retain-only：永久保留內容或保留指定的時間區間。
• Delete-only：在指定時間區段後永久刪除內容。
• Retain and then delete：將內容保留到指定的時間區段，然後永久刪除。

當資料分配有保留設定時，該資料將保留在其原始位置。員工可以繼續處理他們的文件或郵件，就好像一切都沒有改變一樣。但是，如果他們編輯或刪除保留策略中包含的內容，內容的副本會自動儲存在安全位置。大多數人看不到安全位置和內容。在大多數情況下，員工甚至不需要知道他們的內容受到保留設定的約束。

保留設定適用於下列不同的服務：

• SharePoint
• OneDrive
• Microsoft Teams
• Viva Engage
• Exchange

若要將保留政策指定給資料，請使用retention policies和帶有label policies的retention labels。可以只使用其中一種方法，也可以組合它們。使用保留政策和保留標籤將保留設定分配給資料時，有一些要點需要了解。以下列出的只是其中的一些要點。

Retention policies:

• 保留政策用於將相同的保留設定指派給site levelmailbox level的內容。
• 單一政策可以應用於多個位置，或應用於特定位置或使用者。
• 項目(Items)從保留政策中指定的容器來繼承保留設定。如果將政策配置為保留資料，然後將資料移出該容器，則該資料的副本將保留在該服務的安全位置。但是，該保留設定不會隨這個資料一起移動到新位置。

Retention labels:

• 保留標籤(Retention labels)用於指派Item levle的保留設置，例如資料夾、文件或電子郵件。
• 電子郵件或文件一次只能指派一個保留標籤。
• 如果資料移至 同一個Microsoft 365 租戶內的其他位置，則保留標籤中的保留設定會隨內容一起移動，但如果內容移出 Microsoft 365 租戶，則保留設定會消失。
• 管理員可以允許組織中的使用者手動套用保留標籤。
• 如果保留標籤符合定義的條件，則可以自動套用保留標籤。
• 預設標籤可以套用於 SharePoint 文件。
• 保留標籤支援disposition review，以便在永久刪除內容之前進行檢視。

考慮以下場景 — 如果 SharePoint 網站中的所有文件應保留五年，則使用保留政策比對該網站中的所有文件套用相同的保留標籤更有效。

但是，如果該網站中的某些文件應保留五年，而其他文件應保留 10 年，則需要向 SharePoint 網站套用保留期為五年的政策。然後，可以將保留標籤套用到保留設定為 10 年的各個項目。

當組織發佈保留標籤時，它們會帶有保留標籤政策(retention label policy)，使管理員和使用者可以將它們套用至資料。

紀錄管理(Records Management)

所有類型的組織都需要一個管理解決方案來管理其公司資料中的監管、法律和關鍵業務記錄。 Microsoft Purview 記錄管理可協助組織履行其法律義務。它還有助於證明遵守法規，並透過定期處置不再需要保留、不再有價值或不再需要用於業務目的的資料來提高效率。 Microsoft Purview Records Management 包含許多功能，包括：

• 將內容(Content)標記為記錄(record)
• 在record label內建立”保留和刪除”政策
• 觸發基於Event的保留
• 檢視並驗證處置(disposition)
• 記錄的刪除證明
• 匯出有關已處置項目的資訊

當使用保留標籤將資料標記為記錄(record)時，會發生以下情況：

• 當某些活動已經預先被定義時，活動限制就會產生
• 活動已被記錄
• 處置證明在保留期結束時還會留著。

為了使項目能夠標記為記錄，管理員設定保留標籤(如下圖示)。

然後，可以根據這些保留標籤將文件和電子郵件等項目標記為記錄。項目可能會標記為記錄，但也可以呈現為監管記錄(regulatory records)。監管記錄提供其他控制和限制，例如：

• 當項目被標記為監管記錄時，監管標籤無法刪除。
• 標籤貼上後，保留期限不能縮短。

最重要的區別是，如果內容已標記為監管記錄，則任何人（甚至全域管理員）都無法刪除該標籤。將項目標記為監管記錄可能會產生不可逆轉的後果，因此僅應在必要時使用。因此，此選項預設是選不到可以使用，必須由管理員使用 PowerShell 啟動。

在整個組織中可以透過多種方式使用 Microsoft Purview Records Management，包括：

• 使管理員和使用者能夠手動方式套用文件和電子郵件的保留和刪除操作。
• 自動對文件和電子郵件套用保留和刪除操作。
• 使網站管理員能夠為 SharePoint 、資料夾或文件集中的所有內容設定預設保留和刪除操作。
• 讓使用者能夠使用 Outlook 規則自動對電子郵件套用保留和刪除操作。