Jurnal de audit O365: 15 lucruri pe care trebuie să le știți

Acest articol descrie prezentarea generală a jurnalului de audit O365 și a caracteristicilor acestuia pentru a urmări activitatea administrativă și a utilizatorului în cadrul chiriașului Microsoft 365, cum ar fi modificările aduse setărilor de configurare ale chiriașului Exchange Online și SharePoint Online și modificările făcute de utilizatori în documente și alte elemente. Administratorii pot folosi informațiile de audit disponibile în Microsoft 365 pentru a îndeplini obligațiile de conformitate.

1 Auditarea cutiei poștale

1.1 Verificați că auditarea căsuței poștale activată în mod implicit este activată

1.2 Acțiuni de cutie poștală pentru cutiile poștale Microsoft 365 Group

1.3 Dezactivați în mod implicit auditarea căsuței poștale

1.4 Jurnal de audit

1.5 Porniți auditarea

1.5.1 Utilizați PowerShell pentru a activa auditarea

1.6 Activați auditarea cutiei poștale

1.7 Dezactivați auditarea căsuțelor poștale pentru anumite cutii poștale

2 Rapoarte de audit online Exchange

3 jurnalele de audit O365 powershell

4 Cum să vizualizați rapoartele jurnalului de audit în SharePoint Online?

5 jurnalele de audit O365 api

6 Rezumat

Auditarea cutiei poștale

Microsoft activează în mod implicit înregistrarea de auditare a cutiei poștale pentru toate organizațiile. Aceasta înseamnă că anumite acțiuni efectuate de proprietarii, delegații și administratorii cutiei poștale sunt înregistrate automat, iar înregistrările de audit ale cutiei poștale corespunzătoare vor fi disponibile atunci când le căutați în jurnalul de audit al cutiei poștale. Înainte ca auditarea căsuței poștale să fie activată în mod implicit, trebuia să-l activați manual pentru fiecare cutie poștală de utilizator din organizația dvs.

Iată câteva beneficii ale auditării cutiei poștale în mod implicit:

• Auditul este activat automat atunci când creați o nouă căsuță poștală. Nu trebuie să îl activați manual pentru utilizatorii noi.
• Nu trebuie să gestionați acțiunile cutiei poștale care sunt auditate. Un set predefinit de acțiuni pentru cutia poștală este auditat în mod implicit pentru fiecare tip de conectare (Administrator, Delegat și Proprietar).
• Când Microsoft lansează o nouă acțiune de cutie poștală, acțiunea poate fi adăugată automat la lista de acțiuni de cutie poștală care sunt auditate în mod implicit (sub rezerva ca utilizatorul să aibă licența corespunzătoare). Aceasta înseamnă că nu trebuie să monitorizați adăugarea de noi acțiuni în cutiile poștale.
• Aveți o politică consecventă de auditare a cutiilor poștale în întreaga organizație (deoarece auditați aceleași acțiuni pentru toate cutiile poștale).

Verificați că auditarea cutiei poștale activată în mod prestabilit este activată

Pentru a verifica dacă auditarea cutiei poștale activată în mod implicit este activată pentru organizația dvs., executați următoarea comandă în  Exchange Online PowerShell :

Get-OrganizationConfig | Audit FL este dezactivat

Valoarea  False  indică faptul că auditarea cutiei poștale activată în mod implicit este activată pentru organizație. Această valoare organizațională activată implicit înlocuiește setarea de auditare a cutiei poștale pentru anumite cutii poștale. De exemplu, dacă auditarea cutiei poștale este dezactivată pentru o cutie poștală (  proprietatea AuditEnabled  este  False  pe cutia poștală), acțiunile implicite ale cutiei poștale vor fi în continuare auditate pentru cutia poștală, deoarece auditarea cutiei poștale activată în mod implicit este activată pentru organizație.

Pentru a menține dezactivată auditarea cutiei poștale pentru anumite cutii poștale, configurați ocolirea auditului cutiei poștale pentru proprietarul cutiei poștale și alți utilizatori cărora li s-a delegat acces la cutia poștală. Pentru mai multe informații, consultați  ignorarea jurnalului de audit al cutiei poștale .

Acțiuni pentru cutiile poștale pentru cutiile poștale Microsoft 365 Group

Auditul cutiei poștale activat în mod implicit aduce înregistrarea în jurnal de audit al cutiei poștale în cutiile poștale ale grupului Microsoft 365, dar nu puteți personaliza ceea ce este înregistrat (nu puteți adăuga sau elimina acțiunile cutiei poștale care sunt înregistrate pentru orice tip de conectare). Rețineți, un administrator cu permisiunea de acces complet la o cutie poștală Microsoft 365 Group este considerat delegat.

Dezactivați în mod prestabilit auditarea căsuței poștale

Puteți dezactiva în mod implicit auditarea cutiei poștale pentru întreaga organizație, rulând următoarea comandă în Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

Dezactivarea în mod implicit a auditării cutiei poștale are următoarele rezultate:

• Auditarea cutiei poștale este dezactivată pentru organizația dvs.
• Din momentul în care ați dezactivat în mod implicit auditarea căsuței poștale, nicio acțiune nu este auditată, chiar dacă auditarea este activată pe o cutie poștală (  proprietatea AuditEnabled  de pe cutia poștală este  True ).
• Auditarea cutiei poștale nu este activată pentru cutiile poștale noi și setarea  proprietății AuditEnabled  pe o cutie poștală nouă sau existentă la  True  va fi ignorată.
• Orice setări de asociere de ocolire a auditului cutiei poștale (configurate utilizând  cmdletul Set-MailboxAuditBypassAssociation  ) sunt ignorate.
• Înregistrările de audit ale cutiei poștale existente sunt păstrate până la expirarea limitei de vârstă a jurnalului de audit pentru înregistrare.

Jurnal de audit

Pentru conformitatea cu Microsoft 365, jurnalul de audit este probabil cel mai important instrument dintre toate. Urmărește fiecare acțiune de utilizator și cont în toate serviciile Microsoft 365. Puteți rula rapoarte despre ștergeri, partajări, descărcări, editări, citiri etc., pentru toți utilizatorii și toate produsele. De asemenea, puteți configura alerte personalizate pentru a primi notificări ori de câte ori au loc anumite activități.

Pentru toată utilitatea sa, cel mai uimitor lucru este că nu este activat implicit.

Poate fi frustrant când întâlniți o interogare sau o problemă care ar putea fi rezolvată cu ușurință dacă ați avea acces la jurnalele, doar pentru a afla că nu au fost niciodată activate. Iată cum să îl configurați în propria organizație.

Activați auditarea

Dumneavoastră (sau un alt administrator) trebuie să activați înregistrarea de audit înainte de a putea începe să căutați în jurnalul de audit.

• Accesați portalul de conformitate Microsoft Purview .
• În panoul de navigare din stânga al portalului de conformitate, faceți clic pe  Audit .
• Dacă auditarea nu este activată pentru organizația dvs., este afișat un banner care vă solicită să începeți înregistrarea activității utilizatorilor și ai administratorului.

• Faceți clic pe   bannerul Începeți înregistrarea activității utilizatorului și a administratorului . Poate dura până la 60 de minute pentru ca modificarea să intre în vigoare.

Utilizați PowerShell pentru a activa auditarea

• Conectați-vă la Exchange Online prin PowerShell ca administrator .
• Asigurați-vă că chiriașul Microsoft 365 este pregătit pentru jurnalul de audit unificat, activând Personalizarea organizației:

Enable-OrganizationCustomization

Rulați următoarea comandă pentru a activa jurnalul de audit unificat:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Activați auditarea cutiei poștale

Pentru a activa auditarea pentru o singură cutie poștală, utilizați comanda PowerShell:

Set-Mailbox -Identitate „Test 12” -AuditEnabled $true

Pentru a activa auditarea pentru toate cutiile poștale din organizația dvs., utilizați comanda PowerShell:

Get-Mailbox -ResultSize Unlimited -Filter{RecipientTypeDetails -eq „UserMailbox”} | Set-Mailbox -AuditEnabled$true

Pentru a confirma dacă ați activat cu succes auditul sau nu, trebuie să rulați comanda „ Obține cutie poștală ” în Exchange Online. Valoarea „ Adevărat ” a proprietății AuditEnabled confirmă că ați activat cu succes înregistrarea de auditare a cutiei poștale.

Dezactivați auditarea cutiei poștale pentru anumite cutii poștale

În prezent, nu puteți dezactiva auditarea căsuțelor poștale pentru anumite cutii poștale atunci când auditarea căsuței poștale este activată în mod prestabilit în organizația dvs. De exemplu, setarea  proprietății cutiei poștale AuditEnabled  la  False  este ignorată.

Cu toate acestea, puteți utiliza în continuare cmdlet-ul  Set-MailboxAuditBypassAssociation  în Exchange Online PowerShell pentru a preveni  înregistrarea tuturor  acțiunilor cutiei poștale ale utilizatorilor specificați, indiferent unde au loc acțiunile. De exemplu:

• Acțiunile proprietarului cutiei poștale efectuate de utilizatorii ocoliți nu sunt înregistrate.
• Acțiunile de delegare efectuate de utilizatorii ocoliți pe cutiile poștale ale altor utilizatori (inclusiv cutiile poștale partajate) nu sunt înregistrate.
• Acțiunile de administrator efectuate de utilizatorii ocoliți nu sunt înregistrate.

Pentru a ocoli înregistrarea de auditare a cutiei poștale pentru un anumit utilizator:

Set-MailboxAuditBypassAssociation -Identitate „Mailbox” -AuditByPassEnabled $true

Pentru a verifica dacă auditarea este ocolită pentru utilizatorul specificat, rulați următoarea comandă:

Get-MailboxAuditBypassAssociation „Mailbox” | fl auditb*

Valoarea  True  indică faptul că înregistrarea de auditare a cutiei poștale este ocolită pentru utilizator.

Rapoarte de audit online Exchange

Rapoartele de audit Exchange Online includ detalii despre accesul la cutia poștală și modificările aduse de administratori chiriașului Exchange Online al unei organizații.

• Rulați un raport de acces la căsuța poștală non-proprietar : afișează lista de cutii poștale care au fost accesate de altcineva decât proprietarul cutiei poștale. Raportul conține informații despre cine a accesat cutia poștală, acțiunile pe care le-au întreprins în cutia poștală și dacă acțiunile au avut succes sau nu.
• Exportați jurnalele de auditare a cutiei poștale: jurnalele de audit a cutiei poștale conțin informații despre acces și acțiunile într-o cutie poștală efectuate de un alt utilizator decât proprietarul cutiei poștale. Administratorii pot specifica căsuțe poștale împreună cu un interval de date pentru a genera rapoarte. Jurnalele sunt exportate în XML, atașate unui mesaj și trimise anumitor utilizatori, așa cum este stabilit de administrator.
• Rulați un raport de grup de rol de administrator : grupul de roluri de administrator este utilizat pentru a atribui privilegii administrative utilizatorilor. Aceste privilegii permit utilizatorilor să efectueze sarcini administrative, cum ar fi resetarea parolelor, să creeze sau să modifice cutii poștale și să atribuie privilegii de administrator altor utilizatori. Raportul privind grupul de roluri de administrator arată modificările aduse grupurilor de roluri, inclusiv adăugarea sau eliminarea membrilor.
• Vizualizați jurnalul de audit al administratorului : raportul jurnalului de audit al administratorului listează toate funcțiile de creare, actualizare și ștergere efectuate de administratori în Exchange Online. Intrările de jurnal oferă informații despre ce cmdlet a fost rulat, ce parametri au fost utilizați, cine a rulat cmdletul și ce obiecte au fost afectate.
• Exportați jurnalul de audit al administratorului : jurnalul de audit al administratorului înregistrează acțiuni administrative specifice, cum ar fi crearea, actualizarea și ștergerea în Exchange Online. Rezultatele din jurnal sunt exportate în XML, iar administratorii pot alege să trimită acest jurnal către un set de utilizatori.
• Vizualizați și exportați jurnalul de audit al administratorului extern : conține detalii despre acțiunile efectuate de administratorii externi. Intrările furnizează informații despre ce cmdlet a fost rulat, ce parametri au fost utilizați și orice acțiuni care creează, modifică sau șterg obiecte în Exchange Online.

Jurnalele de audit O365 powershell

Pentru a căuta într-o cutie poștală de auditare:

Căutare-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

Pentru a exporta rezultatele într-un fișier csv:

Căutare-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | Export-Csv C:\users\AuditLogs.csv -NoTypeInformation

Pentru a vizualiza și exporta jurnalele pe baza operațiunilor :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -End/D11/Dho2012 | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Pentru a vizualiza și exporta jurnalele pe baza tipurilor de conectare :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Proprietar,Delegat,Admin -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Pentru a căuta în jurnalul de audit unificat:

Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

Pentru a exporta anumite proprietăți ale jurnalului de audit unificat într-un fișier CSV:

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Calea c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Pentru a vedea modificările regulilor de transport :

Search-AdminAuditLog -Cmdlets Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021

Pentru a vedea modificările filtrelor de spam :

Search-AdminAuditLog -Cmdlets Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-HostedContentFilterPolicy -StartDate 01/01/2021/2020

Pentru a verifica modificările filtrului de conexiune :

Search-AdminAuditLog -Cmdlets Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -/2021/2021

Cum să vizualizați rapoartele jurnalului de audit în SharePoint Online?

Auditarea mediului SharePoint Online vă ajută să rămâneți în siguranță și să îndepliniți cerințele conformității cu reglementările. Pentru a vizualiza rapoartele de audit pe care le oferă instrumentul nativ SharePoint Online:

• Conectați-vă la SharePoint Online.
• Faceți clic pe Pictograma setări Setări, apoi faceți clic pe Setări site.
• Faceți clic pe Rapoarte jurnal de audit în secțiunea Administrare colecții de site-uri.
• Selectați raportul (cum ar fi ștergere) pe care îl doriți din pagina Vizualizare rapoarte de audit.
• Tastați o adresă URL sau Navigați la biblioteca în care doriți să salvați raportul și apoi faceți clic pe OK.
• Pe pagina Operațiune finalizată cu succes, selectați Faceți clic aici pentru a vizualiza acest raport.

Rapoartele jurnalului de audit SharePoint vă permit să analizați toate activitățile din mediul dvs. SharePoint.

Jurnalele de audit O365 api

Microsoft oferă servicii de raportare care permit administratorilor să obțină informații tranzacționale agregate despre chiriașul Microsoft 365. API-ul Microsoft 365 Management Activity folosește un design RESTful standard din industrie și OAuth v2 pentru autentificare, ceea ce facilitează începerea experimentelor cu preluarea datelor și ingerarea lor în instrumente și aplicații de vizualizare.

API-ul oferă un flux de date care include informații despre utilizator, administrator, operațiuni și activitatea de securitate în Microsoft 365. Datele pot fi păstrate în scopuri de reglementare sau combinate cu date de jurnal procurate dintr-o infrastructură locală sau din alte surse pentru a construi un soluție de monitorizare pentru operațiuni, securitate și conformitate în întreaga întreprindere.

API-ul Management Activity oferă în prezent o vizualizare cuprinzătoare a peste 150 de tipuri de tranzacții de la SharePoint Online, OneDrive for Business, Exchange Online și Azure AD. API-ul oferă o schemă de audit coerentă cu peste 10 câmpuri care sunt comune pentru toate serviciile.

Acest lucru permite organizațiilor să facă conexiuni ușoare între evenimente și permite noi modalități de a raționa datele. Zeci de furnizori independenți de software (ISV) au colaborat cu Microsoft și au construit soluții bazate pe API. Unele soluții se concentrează exclusiv pe datele Microsoft 365, în timp ce altele oferă capacitatea de a ingera date de la mai mulți furnizori de cloud și sisteme locale pentru a crea o vizualizare unificată a tuturor operațiunilor, securității și activităților legate de conformitate. Pentru mai multe informații, consultați referința Microsoft 365 Management Activity API .

Citește și : Microsoft Cloud App Security: The Definitive Guide

rezumat

Jurnalul de audit O365 include mai multe caracteristici în Centrul de securitate și metode programatice pentru preluarea și analiza datelor din jurnal folosind PowerShell la distanță și un API REST pentru servicii web. Administratorii pot folosi caracteristicile de audit din Microsoft Microsoft 365 pentru a urmări modificările aduse elementelor cheie de configurare a chiriașilor și serviciilor, documentelor și altor elemente.