Журнал аудита O365: 15 вещей, которые вам нужно знать

В этой статье описывается обзор журнала аудита O365 и его функций для отслеживания действий пользователей и администраторов в клиенте Microsoft 365, таких как изменения, внесенные в параметры конфигурации клиента Exchange Online и SharePoint Online, а также изменения, внесенные пользователями в документы и другие элементы. Администраторы могут использовать данные аудита, доступные в Microsoft 365, для выполнения обязательств по соблюдению требований.

1 Аудит почтового ящика

1.1 Убедитесь, что аудит почтовых ящиков по умолчанию включен

1.2 Действия с почтовым ящиком для почтовых ящиков группы Microsoft 365

1.3 Отключить аудит почтовых ящиков по умолчанию

1.4 Журнал аудита

1.5 Включите аудит

1.5.1 Используйте PowerShell для включения аудита

1.6 Включить аудит почтовых ящиков

1.7 Отключить аудит почтовых ящиков для определенных почтовых ящиков

2 Отчеты об аудите Exchange Online

3 журнала аудита O365 powershell

4 Как просмотреть отчеты журнала аудита в SharePoint Online?

5 API журналов аудита O365

6 Резюме

Аудит почтовых ящиков

Microsoft по умолчанию включает ведение журнала аудита почтовых ящиков для всех организаций. Это означает, что определенные действия, выполняемые владельцами, делегатами и администраторами почтовых ящиков, автоматически регистрируются, и соответствующие записи аудита почтовых ящиков будут доступны при поиске их в журнале аудита почтовых ящиков. Прежде чем аудит почтовых ящиков был включен по умолчанию, вам приходилось вручную включать его для каждого почтового ящика пользователя в вашей организации.

Вот некоторые преимущества аудита почтовых ящиков по умолчанию:

• Аудит автоматически включается при создании нового почтового ящика. Вам не нужно вручную включать его для новых пользователей.
• Вам не нужно управлять действиями почтового ящика, которые подлежат аудиту. Предопределенный набор действий почтового ящика проверяется по умолчанию для каждого типа входа (Администратор, Представитель и Владелец).
• Когда корпорация Майкрософт выпускает новое действие с почтовым ящиком, это действие может быть автоматически добавлено в список действий с почтовым ящиком, которые проверяются по умолчанию (при условии наличия у пользователя соответствующей лицензии). Это означает, что вам не нужно отслеживать добавление новых действий в почтовых ящиках.
• У вас есть согласованная политика аудита почтовых ящиков в вашей организации (поскольку вы проверяете одни и те же действия для всех почтовых ящиков).

Убедитесь, что аудит почтовых ящиков по умолчанию включен

Чтобы убедиться, что аудит почтовых ящиков по умолчанию включен для вашей организации, выполните следующую команду в  Exchange Online PowerShell :

Get-ОрганизацияКонфиг | FL AuditDisabled

Значение  False  указывает, что аудит почтовых ящиков включен по умолчанию для организации. Это организационное значение по умолчанию переопределяет параметр аудита почтовых ящиков для определенных почтовых ящиков. Например, если аудит почтового ящика отключен для почтового ящика (   свойство  AuditEnabled имеет значение False  для почтового ящика), действия почтового ящика по умолчанию по-прежнему будут подвергаться аудиту для почтового ящика, поскольку аудит почтового ящика по умолчанию включен для организации.

Чтобы отключить аудит почтовых ящиков для определенных почтовых ящиков, вы настраиваете обход аудита почтовых ящиков для владельца почтового ящика и других пользователей, которым был делегирован доступ к почтовому ящику. Дополнительные сведения см. в разделе  Обход ведения журнала аудита почтовых ящиков .

Действия с почтовыми ящиками для групповых почтовых ящиков Microsoft 365

Аудит почтовых ящиков по умолчанию приводит к ведению журнала аудита почтовых ящиков в почтовых ящиках группы Microsoft 365, но вы не можете настроить то, что регистрируется (вы не можете добавлять или удалять действия с почтовыми ящиками, которые регистрируются для любого типа входа). Помните, что администратор с полным доступом к почтовому ящику группы Microsoft 365 считается делегатом.

Отключить аудит почтовых ящиков по умолчанию

Вы можете отключить аудит почтовых ящиков по умолчанию для всей организации, выполнив следующую команду в Exchange Online PowerShell:

Set-OrganizationConfig-AuditDisabled $true

Отключение аудита почтовых ящиков по умолчанию приводит к следующим результатам:

• Аудит почтовых ящиков отключен для вашей организации.
• С момента отключения аудита почтового ящика по умолчанию никакие действия с почтовым ящиком не проверяются, даже если аудит включен для почтового ящика (  свойство AuditEnabled  почтового ящика имеет значение  True ).
• Аудит почтовых ящиков не включен для новых почтовых ящиков, и установка для  свойства AuditEnabled  нового или существующего почтового ящика  значения True  будет игнорироваться.
• Любые параметры ассоциации обхода аудита почтовых ящиков (настроенные с помощью  командлета Set-MailboxAuditBypassAssociation  ) игнорируются.
• Существующие записи аудита почтовых ящиков сохраняются до тех пор, пока не истечет срок хранения записи в журнале аудита.

Журнал аудита

Для соответствия Microsoft 365 журнал аудита, вероятно, является самым важным инструментом из всех. Он отслеживает каждое действие пользователя и учетной записи во всех службах Microsoft 365. Вы можете запускать отчеты об удалениях, общих ресурсах, загрузках, изменениях, чтениях и т. д. для всех пользователей и всех продуктов. Вы также можете настроить настраиваемые оповещения, чтобы получать уведомления всякий раз, когда происходят определенные действия.

При всей его полезности, самое удивительное в нем то, что он не включен по умолчанию.

Это может быть неприятно, когда вы сталкиваетесь с запросом или проблемой, которую можно было бы легко решить, если бы у вас был доступ к журналам, только чтобы узнать, что они никогда не были включены в первую очередь. Вот как настроить его в вашей организации.

Включить аудит

Вы (или другой администратор) должны включить ведение журнала аудита, прежде чем вы сможете начать поиск в журнале аудита.

• Перейдите на портал соответствия Microsoft Purview .
• В левой панели навигации портала соответствия требованиям щелкните  Аудит .
• Если аудит не включен для вашей организации, отображается баннер, предлагающий начать запись действий пользователей и администраторов.

• Нажмите на   баннер « Начать запись действий пользователя и администратора ». Изменения вступят в силу в течение 60 минут.

Используйте PowerShell, чтобы включить аудит

• Подключитесь к Exchange Online через PowerShell в качестве администратора .
• Убедитесь, что ваш клиент Microsoft 365 готов к единому журналу аудита, включив настройку организации:

Enable-OrganizationCustomization

Выполните следующую команду, чтобы включить единый журнал аудита:

Set-AdminAuditLogConfig - UnifiedAuditLogIngestionEnabled $true

Включить аудит почтовых ящиков

Чтобы включить аудит для одного почтового ящика, используйте команду PowerShell:

Set-Mailbox-Identity «Test 12»-AuditEnabled $true

Чтобы включить аудит для всех почтовых ящиков в вашей организации, используйте команду PowerShell:

Get-Mailbox -ResultSize Unlimited -Filter{RecipientTypeDetails -eq «UserMailbox»} | Set-Mailbox-AuditEnabled$true

Чтобы подтвердить, успешно ли вы включили аудит или нет, вы должны запустить команду « Get-Mailbox » в Exchange Online. Значение True свойства AuditEnabled подтверждает, что вы успешно включили ведение журнала аудита почтовых ящиков.

Отключить аудит почтовых ящиков для определенных почтовых ящиков

В настоящее время вы не можете отключить аудит почтовых ящиков для определенных почтовых ящиков, если в вашей организации включен аудит почтовых ящиков по умолчанию. Например, установка для  свойства  почтового ящика  AuditEnabled значения False  игнорируется.

Тем не менее вы по-прежнему можете использовать  командлет Set-MailboxAuditBypassAssociation  в Exchange Online PowerShell, чтобы предотвратить  регистрацию любых  действий с почтовыми ящиками, выполняемых указанными пользователями, независимо от того, где эти действия происходят. Например:

• Действия владельца почтового ящика, выполняемые пропущенными пользователями, не регистрируются.
• Действия делегирования, выполняемые пропущенными пользователями в почтовых ящиках других пользователей (включая общие почтовые ящики), не регистрируются.
• Действия администратора, выполняемые пропущенными пользователями, не регистрируются.

Чтобы обойти ведение журнала аудита почтовых ящиков для определенного пользователя:

Set-MailboxAuditBypassAssociation -Identity «Почтовый ящик» -AuditByPassEnabled $true

Чтобы убедиться, что аудит для указанного пользователя обойден, выполните следующую команду:

Get-MailboxAuditBypassAssociation «Почтовый ящик» | fl аудитb*

Значение  True  указывает, что ведение журнала аудита почтовых ящиков для пользователя пропущено.

Отчеты об аудите Exchange Online

Отчеты об аудите Exchange Online включают сведения о доступе к почтовым ящикам и изменениях, внесенных администраторами в клиент Exchange Online организации.

• Запустить отчет о доступе к почтовому ящику, не принадлежащему владельцу . Отображает список почтовых ящиков, к которым обращался кто-либо, кроме владельца почтового ящика. Отчет содержит информацию о том, кто получил доступ к почтовому ящику, действия, которые они предприняли в почтовом ящике, и были ли эти действия успешными.
• Экспорт журналов аудита почтовых ящиков. Журналы аудита почтовых ящиков содержат информацию о доступе и действиях в почтовом ящике, предпринятых пользователем, отличным от владельца почтового ящика. Администраторы могут указать почтовые ящики вместе с диапазоном дат для создания отчетов. Журналы экспортируются в формате XML, прикрепляются к сообщению и отправляются определенным пользователям, определенным администратором.
• Запустите отчет группы ролей администратора : группа ролей администратора используется для назначения пользователям административных привилегий. Эти привилегии позволяют пользователям выполнять административные задачи, такие как сброс паролей, создание или изменение почтовых ящиков и назначение прав администратора другим пользователям. Отчет группы ролей администратора показывает изменения в группах ролей, включая добавление или удаление участников.
• Просмотр журнала аудита администратора. В отчете журнала аудита администратора перечислены все функции создания, обновления и удаления, выполняемые администраторами в Exchange Online. Записи журнала предоставляют информацию о том, какой командлет был запущен, какие параметры использовались, кто запускал командлет и какие объекты были затронуты.
• Экспорт журнала аудита администратора . В журнал аудита администратора записываются определенные административные действия, такие как создание, обновление и удаление в Exchange Online. Результаты из журнала экспортируются в XML, и администраторы могут отправить этот журнал группе пользователей.
• Просмотр и экспорт журнала аудита внешнего администратора : содержит сведения о действиях, выполненных внешними администраторами. Записи предоставляют информацию о том, какой командлет был запущен, какие параметры использовались и о любых действиях, которые создают, изменяют или удаляют объекты в Exchange Online.

Журналы аудита O365 powershell

Для поиска аудита почтового ящика:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01.01.2021 -EndDate 31.01.2021

Чтобы экспортировать результаты в файл csv:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01.01.2021 -EndDate 31.01.2021 | Export-Csv C:\users\AuditLogs.csv -NoTypeInformation

Чтобы просмотреть и экспортировать журналы на основе операций :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Для просмотра и экспорта журналов на основе типов входа :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner, Delegate, Admin -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Для поиска в едином журнале аудита:

Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 31/01/2021 -RecordType SharePointFileOperation

Чтобы экспортировать определенные свойства единого журнала аудита в файл CSV:

$аудитлог | Select-Object -Property CreationDate, UserIds, RecordType, AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Чтобы просмотреть изменения правил транспорта :

Search-AdminAuditLog -Cmdlets Set-TransportRule -StartDate 01.01.2021 -EndDate 31.01.2021
Search-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01.01.2021 -EndDate 31.01.2021

Чтобы просмотреть изменения спам-фильтров :

Search-AdminAuditLog -Cmdlets Set-HostedContentFilterPolicy -StartDate 01.01.2021 -EndDate 31.01.2021
Search-UnifiedAuditLog -Operations Set-HostedContentFilterPolicy -StartDate 01.01.2021 -EndDate 31.01.2021

Чтобы проверить изменения фильтра подключения:

Search-AdminAuditLog -Cmdlets Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 31/01/2021
Search-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021

Как просмотреть отчеты журнала аудита в SharePoint Online?

Аудит вашей среды SharePoint Online помогает вам оставаться в безопасности и соблюдать нормативные требования. Чтобы просмотреть отчеты об аудите, предоставляемые собственным инструментом SharePoint Online, выполните указанные ниже действия.

• Войдите в SharePoint Online.
• Щелкните значок настройки параметров, а затем щелкните Параметры сайта.
• Щелкните Отчеты журнала аудита в разделе Администрирование семейства веб-сайтов.
• Выберите нужный отчет (например, «Удаление») на странице «Просмотр отчетов аудита».
• Введите URL-адрес или перейдите к библиотеке, в которой вы хотите сохранить отчет, а затем нажмите OK.
• На странице Операция успешно завершена выберите Щелкните здесь, чтобы просмотреть этот отчет.

Отчеты журнала аудита SharePoint позволяют анализировать все действия в среде SharePoint.

API журналов аудита O365

Microsoft предоставляет службы отчетов, которые позволяют администраторам получать сводные сведения о транзакциях об их клиенте Microsoft 365. В API действий управления Microsoft 365 используется стандартный для отрасли дизайн RESTful и OAuth v2 для проверки подлинности, что позволяет легко начать экспериментировать с получением данных и их добавлением в инструменты и приложения визуализации.

API предоставляет канал данных, который включает информацию о пользователе, администраторе, операциях и действиях по обеспечению безопасности в Microsoft 365. Данные могут храниться для целей регулирования или объединяться с данными журнала, полученными из локальной инфраструктуры или других источников, для создания решение для мониторинга операций, безопасности и соответствия требованиям на предприятии.

В настоящее время Management Activity API обеспечивает комплексное представление более 150 типов транзакций из SharePoint Online, OneDrive для бизнеса, Exchange Online и Azure AD. API предоставляет согласованную схему аудита с более чем 10 полями, общими для всех служб.

Это позволяет организациям легко устанавливать связи между событиями и открывает новые способы анализа данных. Десятки независимых поставщиков программного обеспечения (ISV) сотрудничают с Microsoft и создают решения на основе API. Некоторые решения ориентированы исключительно на данные Microsoft 365, в то время как другие предоставляют возможность получать данные от нескольких облачных провайдеров и локальных систем для создания единого представления всех операций, безопасности и действий, связанных с соблюдением нормативных требований. Дополнительные сведения см . в справочнике по API действий управления Microsoft 365 .

Читайте также : Microsoft Cloud App Security: полное руководство

Резюме

Журнал аудита O365 включает несколько функций в Центре безопасности и программные методы для получения и анализа данных журнала с помощью удаленной оболочки PowerShell и REST API веб-служб. Администраторы могут использовать функции аудита в Microsoft Microsoft 365 для отслеживания изменений, внесенных в ключевые элементы конфигурации арендатора и службы, в документы и другие элементы.