Ismerje meg az Office 365 egyesített ellenőrzési naplójának használatát

by

Fontos, hogy ismerje az összes rendelkezésére álló Office 365 felügyeleti eszközt, különösen, ha azok biztonsággal kapcsolatosak.

A Microsoft Office 365 szolgáltatásokért felelős rendszergazdák a központi adminisztrációs konzolra támaszkodnak a rendszer felhasználói tevékenységeinek és eseményeinek részleteiért. Egy további felügyeleti réteg az egységes ellenőrzési napló formájában, amely mélyebb betekintést nyújt az Office 365 bérlőben előforduló eseményekbe, beleértve az adminisztratív tevékenységeket is. Egy olyan időszakban, amikor egyre több vállalat használja az Office 365-öt, és így több figyelmet vonz a fenyegetettség szereplőire, az informatikai személyzetnek proaktívabbnak kell lennie, és az egységes auditnaplót kell használnia a gyanús tevékenységek ellenőrzésére.

Az egyesített auditnapló az Office 365 értékes része, mivel segít a rendszergazdáknak a felhasználókkal kapcsolatos, különböző részlegektől érkező kérések széles skálájának kezelésében. Néhány példa ezekre a kérésekre:

  • fájltörlések vagy hozzáférések felülvizsgálata;
  • az érzékeny adatokkal kapcsolatos felhasználói tevékenységek értékelése;
  • a felhasználói bejelentkezési viselkedés értékelése biztonsági incidens részeként;
  • a rendszerben az adminisztratív engedélyek közelmúltbeli változásainak áttekintése;
  • fájltörlés felülvizsgálata; és
  • a legutóbbi fájlletöltések vagy külső eszközökre történő kibontások áttekintése.

A helyszíni rendszerek kezelésekor a rendszergazdáknak több területre is be kellett jelentkezniük, például az Exchange adminisztrációs konzolra, a SharePoint központi adminisztrációjára, az Active Directoryra és a fájlkiszolgálókra, hogy teljesítsék ezeket az információs kéréseket. Az Office 365-ben azonban a Microsoft egyetlen felügyeleti portál alatt központosította az adminisztrációs tevékenységeket az Exchange Online, a Yammer, a Microsoft Teams, a OneDrive, a Power BI, a Dynamics 365, a Power Automate (korábban Microsoft Flow), a Power Apps, a Microsoft Forms, a SharePoint Online, az Azure Active Directory szolgáltatásokhoz. (AD ), a Sway és a Biztonsági és Megfelelőségi Központ.

Az ezekre a szolgáltatásokra vonatkozó ellenőrzési kérelmek többsége teljesíthető az egyesített Office 365 auditnaplókkal a biztonságkezelési portálról a protection.office.com/unifiedauditlog URL. Az auditnapló-keresés lehetőséget ad az informatikusoknak, hogy különböző kritériumok, például tevékenység és időkeret alapján szűkítsék az eredményeket.

Hogyan hajthat végre egységes keresést az Office 365 auditnaplóiban

Az Officer 365 adminisztrátoroknak ébernek kell lenniük az adatszivárgás vagy hackelés jeleire. Az Office 365 egyesített naplója segít a megfigyelési eseményeknek azonosítani a gyanús tevékenységeket a Microsoft-szolgáltatásokban. Például a fájltörléssel kapcsolatos tevékenységek felfedéséhez a rendszergazdák beállíthatják és kiválaszthatják a dátumtartományt: távolítsa el a Tevékenységek menü.

A rendszergazdák az egyesített naplóban kereshetnek, hogy felfedezzék a felhasználói és rendszergazdai tevékenységeket számos területen, beleértve a dokumentumokat, az e-maileket és a címtárszolgáltatásokat.

Az Exchange-rendszergazdák az egyesített naplót használhatják az e-mailekkel kapcsolatos ellenőrzésekhez, hogy felfedezzék a gyanús tevékenységeket, például nagy mennyiségű törölt e-mailt. Ezek a műveletek egy alkalmazott rosszindulatának jelei lehetnek, vagy egy hacker arra irányuló kísérlete, hogy elrejtse tevékenységét, miután ellopta a felhasználó hitelesítő adatait.

Exchange-postafióktevékenységek keresése
A rendszergazdák különféle Exchange-postafióktevékenységekre kereshetnek az egyesített naplóban.

A rendszergazdák exportálhatják a megfigyelési rekordokat egy vesszővel tagolt értékek (CSV) fájlba, hogy megtekintsék őket Microsoft Excelben vagy Power BI-ban.

A PowerShell használatával kereshet az egyesített naplóban

Azok a rendszergazdák, akik szívesebben használják a PowerShellt, használhatják az ExchangeOnlineManagement modult, más néven Exchange Online PowerShell V2 modult is, amely Search-UnifiedAuditLog cmdlet. A név ellenére az ExchangeOnlineManagement modul felfedi az eseményeket a többi Office 365 szolgáltatásban, hasonlóan az adminisztrációs portál grafikus felhasználói felületének verziójához.

A parancsmag számos paramétert biztosít, beleértve a dátumtartományt, a felhasználói azonosítót és a szöveges karakterláncokat az eredmények szűkítésének feltételeinek meghatározásához. A következő példa egy adott felhasználó tevékenységeit keresi január eleje és március vége között.

Keresés-UnifiedAuditLog -Kezdő dátum 2022.01.01. -Befejezés dátuma 2022.31.3 -Felhasználói azonosítók”[email protected]”

Az alapértelmezett eredménybeállítás a Search-UnifiedAuditLog cmdlet 100, de módosítható a -ResultSize paraméter, maximum 5000. A parancsmagról további információért tekintse meg az ezen a hivatkozáson található dokumentációt.

Állítson be riasztásokat, hogy értesítéseket kapjon a gyanús tevékenységekről

A rendszergazdák beállíthatják a riasztási házirendeket, hogy értesítéseket kapjanak bizonyos felhasználói tevékenységekről. A képernyőképen látható példa e-mail értesítést küld, ha a felhasználó üzeneteket töröl egy postafiókból vagy e-mailt a törölt elemek mappából. Az informatikusok riasztásokat konfigurálhatnak a rendszer egyéb tevékenységeihez, valamint az összes felhasználóhoz vagy bizonyos felhasználókhoz.

Az Office 365 új riasztási szabályzata
Ez az Office 365 figyelmeztetési házirend értesíti a rendszergazdákat, ha a felhasználó bejelentkezik egy postafiókba, és törli a leveleket a postafiókból és a törölt elemek mappából.

Módosítsa az egységes ellenőrzési napló megőrzési szabályzatát

Annak ellenére, hogy több Office 365-szolgáltatáson keresztül is hozzá lehet férni az információkhoz, a fő korlátozás az, hogy mennyi ideig érhető el az egyesített napló. A Microsoft hozzáférést biztosít az elmúlt 90 nap ellenőrzési adataihoz.

Az Office 365 E5, a Microsoft 365 E5 licenc, a Microsoft 365 E5 Compliance vagy a Microsoft 365 E5 eDiscovery szolgáltatásra az Audit bővítmény licencével előfizető ügyfelek alapértelmezés szerint egy évre szólnak az Exchange Online, a SharePoint Online és az Azure Active Directory esetében. Más ügyfelek esetében az adminisztrátoroknak lehetőségük van a megfigyelési megőrzési házirend használatával legfeljebb egy évig megőrizni az adatokat, de ehhez az adminisztrátornak kézzel kell konfigurálnia ezeket a beállításokat.

könyvvizsgálati megőrzési szabályzat
A rendszergazdák módosíthatják az alapértelmezett megfigyelési naplóadatok időtartamát 90 napról hat hónapra vagy egy évre.

A Security Information and Event Management (SIEM) terméket használó szervezetek számára az Office 365 Management Activity API lehetővé teszi a külső szállítók számára, hogy lekérdezzék az egyesített napló tartalmát. Az olyan termékek, mint a Sumo Logic Cloud SIEM, meg tudják adni az Office 365 felhasználói tevékenységével kapcsolatos információkat, valamint a hálózati forgalommal, kiszolgálókkal és rendszereseményekkel kapcsolatos adatokat.

Az egyesített ellenőrzési napló célja, hogy némi betekintést nyújtson abba, hogy mit csinálnak a végfelhasználók az Office 365-ben. Bár számos kritikus felhasználói tevékenységet nyomon követ, az egységes naplózási naplót nem szabad elsődleges eszközként használni a szervezet támadókkal szembeni védelmére. Ehelyett az egységes ellenőrzési napló a felhasználói tevékenységek idővonalát és azok eredetét mutatja, hogy segítse a vizsgálatokat.

Leave a Comment