O365-auditlogboek: 15 dingen die u moet weten

Dit artikel beschrijft het overzicht van het O365-auditlogboek en de functies ervan om gebruikers- en beheerdersactiviteiten binnen de Microsoft 365-tenant bij te houden, zoals wijzigingen die zijn aangebracht in hun Exchange Online- en SharePoint Online-tenantconfiguratie-instellingen en wijzigingen die door gebruikers zijn aangebracht in documenten en andere items. Beheerders kunnen de controle-informatie die beschikbaar is in Microsoft 365 gebruiken om aan nalevingsverplichtingen te voldoen.

1 Mailboxcontrole

1.1 Controleer of mailboxcontrole standaard is ingeschakeld

1.2 Mailboxacties voor Microsoft 365 Group-mailboxen

1.3 Schakel mailboxcontrole standaard uit

1.4 Auditlogboek

1.5 Controle inschakelen

1.5.1 PowerShell gebruiken om auditing in te schakelen

1.6 Controle van mailbox inschakelen

1.7 Postvakcontrole uitschakelen voor specifieke postvakken

2 Exchange Online Audit Rapporten

3 O365-auditlogboeken powershell

4 Hoe auditlograpporten bekijken in SharePoint Online?

5 O365-auditlogboeken api

6 Samenvatting

Postbuscontrole

Microsoft schakelt logboekregistratie van mailboxcontroles standaard in voor alle organisaties. Dit betekent dat bepaalde acties die worden uitgevoerd door mailboxeigenaren, gemachtigden en beheerders automatisch worden vastgelegd en dat de bijbehorende mailboxcontrolerecords beschikbaar zijn wanneer u ernaar zoekt in het mailboxcontrolelogboek. Voordat postvakcontrole standaard was ingeschakeld, moest u dit handmatig inschakelen voor elk gebruikerspostvak in uw organisatie.

Hier volgen enkele voordelen van standaard mailboxcontrole:

• Controle wordt automatisch ingeschakeld wanneer u een nieuwe mailbox aanmaakt. U hoeft het niet handmatig in te schakelen voor nieuwe gebruikers.
• U hoeft de gecontroleerde mailboxacties niet te beheren. Een vooraf gedefinieerde set postvakacties wordt standaard gecontroleerd voor elk aanmeldingstype (Beheerder, Gemachtigde en Eigenaar).
• Wanneer Microsoft een nieuwe mailboxactie vrijgeeft, wordt de actie mogelijk automatisch toegevoegd aan de lijst met mailboxacties die standaard worden gecontroleerd (mits de gebruiker over de juiste licentie beschikt). Dit betekent dat u geen nieuwe acties op mailboxen hoeft te controleren.
• U heeft een consistent controlebeleid voor mailboxen in uw hele organisatie (omdat u dezelfde acties voor alle mailboxen controleert).

Controleer of mailboxcontrole standaard is ingeschakeld

Om te controleren of postvakcontrole standaard is ingeschakeld voor uw organisatie, voert u de volgende opdracht uit in  Exchange Online PowerShell :

Get-OrganizationConfig | FL-controle uitgeschakeld

De waarde  False  geeft aan dat mailboxcontrole standaard is ingeschakeld voor de organisatie. Deze standaard ingeschakelde organisatiewaarde overschrijft de instelling voor mailboxcontrole op specifieke mailboxen. Als postvakcontrole bijvoorbeeld is uitgeschakeld voor een postvak (de  eigenschap AuditEnabled  is  False  voor het postvak), worden de standaardpostvakacties nog steeds gecontroleerd voor het postvak, omdat postvakcontrole standaard is ingeschakeld voor de organisatie.

Als u postbuscontrole uitgeschakeld wilt houden voor specifieke postvakken, configureert u het overslaan van postvakcontrole voor de postbuseigenaar en andere gebruikers aan wie toegang tot de postbus is gedelegeerd. Zie  Auditlogboekregistratie voor mailboxen voor meer informatie .

Mailboxacties voor Microsoft 365 Group-mailboxen

Postvakcontrole is standaard ingeschakeld en brengt controle van postvakcontroles naar Microsoft 365 Groepspostvakken, maar u kunt niet aanpassen wat er wordt vastgelegd (u kunt geen postvakacties toevoegen of verwijderen die zijn vastgelegd voor welk aanmeldingstype dan ook). Houd er rekening mee dat een beheerder met volledige toegangsmachtiging tot een Microsoft 365 Group-postvak als gemachtigde wordt beschouwd.

Postvakcontrole standaard uitschakelen

U kunt controle van mailboxen standaard uitschakelen voor uw hele organisatie door de volgende opdracht uit te voeren in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

Het standaard uitschakelen van mailboxcontrole heeft de volgende resultaten:

• Postvakcontrole is uitgeschakeld voor uw organisatie.
• Vanaf het moment dat u postvakcontrole standaard hebt uitgeschakeld, worden er geen postvakacties gecontroleerd, zelfs niet als controle is ingeschakeld voor een postvak (de  eigenschap AuditEnabled  op het postvak is  True ).
• Postvakcontrole is niet ingeschakeld voor nieuwe postvakken en het instellen van de  eigenschap AuditEnabled  voor een nieuw of bestaand postvak op  True  wordt genegeerd.
• Alle instellingen voor het overslaan van koppelingen voor postbuscontrole (geconfigureerd met behulp van de  cmdlet Set-MailboxAuditBypassAssociation  ) worden genegeerd.
• Bestaande mailboxcontrolerecords worden bewaard totdat de leeftijdslimiet van het controlelogboek voor de record verloopt.

Auditlogboek

Voor compliance in Microsoft 365 is het auditlogboek waarschijnlijk de belangrijkste tool van allemaal. Het volgt elke gebruikers- en accountactie in alle Microsoft 365-services. U kunt rapporten uitvoeren over verwijderingen, aandelen, downloads, bewerkingen, leesbewerkingen enz. voor alle gebruikers en alle producten. U kunt ook aangepaste waarschuwingen instellen om meldingen te ontvangen wanneer specifieke activiteiten plaatsvinden.

Ondanks al zijn bruikbaarheid, is het meest verbazingwekkende eraan dat het niet standaard is ingeschakeld.

Het kan frustrerend zijn wanneer u een vraag of probleem tegenkomt dat gemakkelijk kan worden opgelost als u toegang had tot de logboeken, om er vervolgens achter te komen dat ze in de eerste plaats nooit waren ingeschakeld. Hier leest u hoe u het in uw eigen organisatie kunt instellen.

Schakel controle in

U (of een andere beheerder) moet controlelogboekregistratie inschakelen voordat u kunt beginnen met zoeken in het controlelogboek.

• Ga naar Microsoft Purview-nalevingsportal .
• Klik in het linkernavigatievenster van de nalevingsportal op  Audit .
• Als auditing niet is ingeschakeld voor uw organisatie, wordt een banner weergegeven waarin u wordt gevraagd om gebruikers- en beheerdersactiviteiten te registreren.

• Klik op de   banner Opname van gebruikers- en beheerdersactiviteit starten . Het kan tot 60 minuten duren voordat de wijziging van kracht wordt.

Gebruik PowerShell om controle in te schakelen

• Maak als beheerder verbinding met Exchange Online via PowerShell .
• Zorg ervoor dat uw Microsoft 365-tenant klaar is voor het Unified Audit Log door Organization Customization in te schakelen:

Enable-OrganizationCustomization

Voer de volgende opdracht uit om het Unified Audit Log in te schakelen:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Postvakcontrole inschakelen

Gebruik de PowerShell-opdracht om controle voor één postvak in te schakelen:

Set-Mailbox -Identiteit "Test 12" -AuditEnabled $true

Gebruik de PowerShell-opdracht om controle in te schakelen voor alle postvakken in uw organisatie:

Get-Mailbox -ResultSize Unlimited -Filter{RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled$true

Om te bevestigen of u de audit met succes hebt ingeschakeld of niet, moet u de opdracht " Get-Mailbox " uitvoeren in Exchange Online. De waarde " True " van de eigenschap AuditEnabled bevestigt dat u de logboekregistratie voor mailboxcontrole hebt ingeschakeld.

Postvakcontrole uitschakelen voor specifieke postvakken

Momenteel kunt u postvakcontrole voor specifieke postvakken niet uitschakelen wanneer postvakcontrole standaard is ingeschakeld in uw organisatie. Als u bijvoorbeeld de  eigenschap AuditEnabled-  postvak  instelt op False  , wordt genegeerd.

U kunt echter nog steeds de  cmdlet Set-MailboxAuditBypassAssociation  in Exchange Online PowerShell gebruiken om te voorkomen  dat alle  postvakacties van de opgegeven gebruikers worden vastgelegd, ongeacht waar de acties plaatsvinden. Bijvoorbeeld:

• Acties van de eigenaar van de mailbox die worden uitgevoerd door de overgeslagen gebruikers worden niet geregistreerd.
• Delegeeracties die worden uitgevoerd door de overgeslagen gebruikers op de postvakken van andere gebruikers (inclusief gedeelde postvakken) worden niet geregistreerd.
• Beheerdersacties die worden uitgevoerd door de overgeslagen gebruikers worden niet geregistreerd.

Logboekregistratie voor mailboxcontrole voor een specifieke gebruiker omzeilen:

Set-MailboxAuditBypassAssociation -Identiteit "Mailbox" -AuditByPassEnabled $true

Voer de volgende opdracht uit om te controleren of auditing wordt omzeild voor de opgegeven gebruiker:

Get-MailboxAuditBypassAssociation “Mailbox” | fl auditb*

De waarde  True  geeft aan dat logboekregistratie voor mailboxcontrole wordt overgeslagen voor de gebruiker.

Exchange Online Audit Rapporten

Exchange Online-auditrapporten bevatten details over toegang tot mailboxen en wijzigingen die door beheerders zijn aangebracht in de Exchange Online-tenant van een organisatie.

• Een rapport over toegang tot mailboxen uitvoeren dat niet van de eigenaar is : Geeft de lijst weer met mailboxen die zijn geopend door iemand anders dan de eigenaar van de mailbox. Het rapport bevat informatie over wie de mailbox heeft geopend, de acties die ze in de mailbox hebben ondernomen en of de acties al dan niet succesvol waren.
• Auditlogboeken voor mailboxen exporteren : Auditlogboeken voor mailboxen bevatten informatie over toegang en acties in een mailbox die zijn ondernomen door een andere gebruiker dan de eigenaar van de mailbox. Beheerders kunnen mailboxen samen met een datumbereik specificeren om rapporten te genereren. De logs worden geëxporteerd in XML, toegevoegd aan een bericht en verzonden naar specifieke gebruikers zoals bepaald door de beheerder.
• Een beheerdersrolgroeprapport uitvoeren : De beheerdersrolgroep wordt gebruikt om beheerdersrechten toe te wijzen aan gebruikers. Met deze privileges kunnen gebruikers administratieve taken uitvoeren, zoals het opnieuw instellen van wachtwoorden, het maken of wijzigen van mailboxen en het toewijzen van beheerdersrechten aan andere gebruikers. Het rapport met beheerdersrollengroepen toont wijzigingen in rolgroepen, inclusief het toevoegen of verwijderen van leden.
• Bekijk het controlelogboek van de beheerder : het rapport met het controlelogboek van de beheerder bevat alle functies voor maken, bijwerken en verwijderen die door beheerders in Exchange Online zijn uitgevoerd. Logboekvermeldingen bieden informatie over welke cmdlet is uitgevoerd, welke parameters zijn gebruikt, wie de cmdlet heeft uitgevoerd en welke objecten zijn getroffen.
• Exporteer het controlelogboek voor beheerders : het controlelogboek voor beheerders legt specifieke beheeracties vast, zoals maken, bijwerken en verwijderen in Exchange Online. De resultaten van het logboek worden geëxporteerd naar XML en beheerders kunnen ervoor kiezen dit logboek naar een reeks gebruikers te verzenden.
• Bekijk en exporteer het auditlogboek voor externe beheerders : bevat details van acties die zijn uitgevoerd door externe beheerders. De vermeldingen bieden informatie over welke cmdlet is uitgevoerd, welke parameters zijn gebruikt en eventuele acties waarmee objecten in Exchange Online worden gemaakt, gewijzigd of verwijderd.

O365 auditlogboeken powershell

Een mailboxcontrole doorzoeken:

Zoeken-MailboxAuditLog [email protected] -ShowDetails -Startdatum 01/01/2021 -Einddatum 31/01/2021

Resultaten exporteren naar een csv-bestand:

Zoeken-MailboxAuditLog [email protected] -ShowDetails -Startdatum 01/01/2021 -Einddatum 31/01/2021 | Export-Csv C:\users\AuditLogs.csv -NoTypeInformation

Logboeken bekijken en exporteren op basis van bewerkingen :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 31/01/2021 -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Logboeken bekijken en exporteren op basis van aanmeldingstypen :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -Startdatum 01/01/2021 -Einddatum 31/01/2021 -LogonTypes Eigenaar, gemachtigde, beheerder -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Het uniforme controlelogboek doorzoeken:

Search-UnifiedAuditLog -Startdatum 01/01/2021 -Einddatum 31/01/2021 -RecordType SharePointFileOperation

Bepaalde eigenschappen van een uniform controlelogboek exporteren naar een CSV-bestand:

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Wijzigingen in de transportregel bekijken :

Search-AdminAuditLog -Cmdlets Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01/01/2021 -EndDate 31/01/2021

Wijzigingen in spamfilters bekijken :

Search-AdminAuditLog -Cmdlets Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 31/01/2021 Search-UnifiedAuditLog -Operations Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate
31/01/2021

Wijzigingen in verbindingsfilters controleren :

Search-AdminAuditLog -Cmdlets Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 31/01/2021 Search-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate
31/01/2021

Hoe auditlograpporten bekijken in SharePoint Online?

Door uw SharePoint Online-omgeving te controleren, blijft u veilig en voldoet u aan de vereisten van de regelgeving. Ga als volgt te werk om de controlerapporten te bekijken die uw native SharePoint Online-tool biedt:

• Log in op SharePoint Online.
• Klik op Instellingen instelling-pictogram en klik vervolgens op Site-instellingen.
• Klik op Auditlogboekrapporten in het gedeelte Beheer van siteverzameling.
• Selecteer het gewenste rapport (zoals Verwijderen) op de pagina Controlerapporten bekijken.
• Typ een URL of blader naar de bibliotheek waar u het rapport wilt opslaan en klik vervolgens op OK.
• Selecteer op de pagina Bewerking succesvol voltooid de optie Klik hier om dit rapport te bekijken.

Met SharePoint-auditlogboekrapporten kunt u alle activiteiten in uw SharePoint-omgeving analyseren.

O365 audit logs api

Microsoft biedt rapportageservices waarmee beheerders geaggregeerde transactiegegevens over hun Microsoft 365-tenant kunnen verkrijgen. De Microsoft 365 Management Activity API maakt gebruik van een industriestandaard RESTful-ontwerp en OAuth v2 voor authenticatie, waardoor het gemakkelijk is om te beginnen met experimenteren met het ophalen van gegevens en het opnemen ervan in visualisatietools en -toepassingen.

De API biedt een gegevensfeed met informatie over gebruiker, beheerder, bewerkingen en beveiligingsactiviteiten in Microsoft 365. De gegevens kunnen worden bewaard voor regelgevingsdoeleinden of worden gecombineerd met loggegevens die zijn verkregen van een on-premises infrastructuur of andere bronnen om een monitoringoplossing voor operaties, beveiliging en compliance in de hele onderneming.

De Management Activity API biedt momenteel een uitgebreid overzicht van meer dan 150 transactietypen van SharePoint Online, OneDrive for Business, Exchange Online en Azure AD. De API biedt een consistent controleschema met meer dan 10 velden die alle services gemeen hebben.

Dit stelt organisaties in staat om gemakkelijk verbanden te leggen tussen gebeurtenissen en het maakt nieuwe manieren mogelijk om over de gegevens te redeneren. Tientallen Independent Software Vendors (ISV's) werken samen met Microsoft en hebben oplossingen gebouwd op basis van de API. Sommige oplossingen zijn uitsluitend gericht op Microsoft 365-gegevens, terwijl andere de mogelijkheid bieden om gegevens van meerdere cloudproviders en on-premises systemen op te nemen om een ​​uniform beeld te creëren van alle activiteiten, beveiliging en compliance-gerelateerde activiteiten. Zie de Microsoft 365 Management Activity API-referentie voor meer informatie .

Lees ook : Microsoft Cloud App Security: de definitieve gids

Overzicht

O365-auditlogboek bevat verschillende functies in het beveiligingscentrum en programmatische methoden voor het ophalen en analyseren van loggegevens met behulp van externe PowerShell en een Web Services REST API. Beheerders kunnen de controlefuncties in Microsoft Microsoft 365 gebruiken om wijzigingen bij te houden die zijn aangebracht in belangrijke tenant- en serviceconfiguratie-items, in documenten en in andere items.