O365 Denetim Günlüğü: Bilmeniz Gereken 15 Şey

Bu makalede, Exchange Online ve SharePoint Online kiracı yapılandırma ayarlarında yapılan değişiklikler ve kullanıcılar tarafından belgelerde ve diğer öğelerde yapılan değişiklikler gibi Microsoft 365 kiracısındaki kullanıcı ve yönetim etkinliğini izlemek için O365 denetim günlüğüne ve özelliklerine genel bakış açıklanmaktadır. Yöneticiler, uyumluluk yükümlülüklerini yerine getirmek için Microsoft 365'te bulunan denetim bilgilerini kullanabilir.

1 Posta kutusu denetimi

1.1 Posta kutusu denetiminin varsayılan olarak açık olduğunu doğrulayın

1.2 Microsoft 365 Grup posta kutuları için posta kutusu eylemleri

1.3 Varsayılan olarak posta kutusu denetimini kapatın

1.4 Denetim günlüğü

1.5 Denetimi aç

1.5.1 Denetimi açmak için PowerShell'i kullanın

1.6 Posta kutusu denetimini etkinleştir

1.7 Belirli posta kutuları için posta kutusu denetimini devre dışı bırakın

2 Exchange Çevrimiçi Denetim Raporları

3 O365 denetim günlükleri powershell

4 SharePoint Online'da denetim günlüğü raporları nasıl görüntülenir?

5 O365 denetim günlüğü API'si

6 Özet

Posta kutusu denetimi

Microsoft, tüm kuruluşlar için varsayılan olarak posta kutusu denetim günlüğünü etkinleştiriyor. Bu, posta kutusu sahipleri, temsilciler ve yöneticiler tarafından gerçekleştirilen belirli eylemlerin otomatik olarak günlüğe kaydedildiği ve ilgili posta kutusu denetim kayıtlarının, bunları posta kutusu denetim günlüğünde aradığınızda mevcut olacağı anlamına gelir. Posta kutusu denetimi varsayılan olarak açılmadan önce, kuruluşunuzdaki her kullanıcı posta kutusu için bunu manuel olarak etkinleştirmeniz gerekiyordu.

Varsayılan olarak açık olan posta kutusu denetiminin bazı avantajları şunlardır:

• Yeni bir posta kutusu oluşturduğunuzda denetleme otomatik olarak etkinleştirilir. Yeni kullanıcılar için manuel olarak etkinleştirmeniz gerekmez.
• Denetlenen posta kutusu eylemlerini yönetmeniz gerekmez. Her oturum açma türü (Yönetici, Temsilci ve Sahip) için varsayılan olarak önceden tanımlanmış bir posta kutusu eylemleri kümesi denetlenir .
• Microsoft yeni bir posta kutusu eylemi yayınladığında, eylem varsayılan olarak denetlenen posta kutusu eylemleri listesine otomatik olarak eklenebilir (kullanıcının uygun lisansa sahip olmasına bağlıdır). Bu, posta kutularına yeni eylemler eklemeyi izlemeniz gerekmediği anlamına gelir.
• Kuruluşunuz genelinde tutarlı bir posta kutusu denetleme ilkeniz vardır (çünkü tüm posta kutuları için aynı eylemleri denetlersiniz).

Posta kutusu denetiminin varsayılan olarak açık olduğunu doğrulayın

Kuruluşunuz için posta kutusu denetiminin varsayılan olarak açık olduğunu doğrulamak için  Exchange Online PowerShell'de aşağıdaki komutu çalıştırın :

Get-OrganizationConfig | FL Denetimi Devre Dışı

False değeri   , posta kutusu denetiminin varsayılan olarak kuruluş için etkinleştirildiğini gösterir. Bu, varsayılan olarak kurumsal değer, belirli posta kutularındaki posta kutusu denetleme ayarını geçersiz kılar. Örneğin, bir posta kutusu için posta kutusu denetimi devre dışı bırakılırsa (posta kutusunda  AuditEnabled  özelliği  False'dır  ), posta kutusu denetimi varsayılan olarak kuruluş için etkinleştirildiğinden, posta kutusu için varsayılan posta kutusu eylemleri denetlenmeye devam eder.

Belirli posta kutuları için posta kutusu denetiminin devre dışı bırakılması için, posta kutusu sahibi ve posta kutusuna erişim yetkisi verilmiş diğer kullanıcılar için posta kutusu denetimi atlamasını yapılandırırsınız. Daha fazla bilgi için bkz.  Posta kutusu denetim günlüğünü atla .

Microsoft 365 Grup posta kutuları için posta kutusu eylemleri

Posta kutusu denetimi varsayılan olarak Microsoft 365 Grup posta kutularına posta kutusu denetim günlüğü getirir, ancak günlüğe kaydedilenleri özelleştiremezsiniz (herhangi bir oturum açma türü için günlüğe kaydedilen posta kutusu eylemlerini ekleyemez veya kaldıramazsınız). Microsoft 365 Grup posta kutusuna Tam Erişim iznine sahip bir yöneticinin temsilci olarak kabul edildiğini unutmayın.

Varsayılan olarak posta kutusu denetimini kapatın

Exchange Online PowerShell'de aşağıdaki komutu çalıştırarak tüm kuruluşunuz için posta kutusu denetimini varsayılan olarak kapatabilirsiniz:

Set-OrganizationConfig -AuditDisabled $true

Posta kutusu denetimini varsayılan olarak kapatmak, aşağıdaki sonuçları verir:

• Kuruluşunuz için posta kutusu denetimi devre dışı bırakıldı.
• Posta kutusu denetimini varsayılan olarak devre dışı bıraktığınız andan itibaren, bir posta kutusunda denetim etkinleştirilse bile hiçbir posta kutusu eylemi denetlenmez (posta kutusundaki  AuditEnabled  özelliği  True'dur ).
• Posta kutusu denetimi, yeni posta kutuları için etkinleştirilmemiştir ve  yeni veya mevcut bir posta kutusunda AuditEnabled  özelliğinin  True  olarak ayarlanması yoksayılır.
• Tüm posta kutusu denetimi atlama ilişkilendirme ayarları (  Set-MailboxAuditBypassAssociation  cmdlet'i kullanılarak yapılandırılır) yoksayılır.
• Mevcut posta kutusu denetim kayıtları, kaydın denetim günlüğü yaş sınırı sona erene kadar saklanır.

Denetim günlüğü

Microsoft 365'te uyumluluk için Denetim Günlüğü muhtemelen en önemli araçtır. Tüm Microsoft 365 hizmetlerinde her kullanıcı ve hesap eylemini izler. Tüm kullanıcılar ve tüm ürünler için silme, paylaşım, indirme, düzenleme, okuma vb. raporları çalıştırabilirsiniz. Belirli etkinlikler gerçekleştiğinde bildirim almak için özel uyarılar da ayarlayabilirsiniz.

Tüm kullanışlılığına rağmen, bununla ilgili en şaşırtıcı şey, varsayılan olarak açık olmamasıdır.

Günlüklere erişiminiz varsa kolayca çözülebilecek bir sorgu veya sorunla karşılaştığınızda, yalnızca ilk etapta hiçbir zaman etkinleştirilmediklerini öğrenmek sinir bozucu olabilir. Bunu kendi kuruluşunuzda nasıl kuracağınız aşağıda açıklanmıştır.

Denetimi aç

Denetim günlüğünde arama yapmaya başlamadan önce sizin (veya başka bir yöneticinin) denetim günlüğünü açmanız gerekir.

• Microsoft Purview uyumluluk portalına gidin .
• Uyumluluk portalının sol gezinme bölmesinde, Denetle'yi  tıklayın .
• Kuruluşunuz için denetim açık değilse, kullanıcı ve yönetici etkinliğini kaydetmeye başlamanızı isteyen bir başlık görüntülenir.

• Kullanıcı ve yönetici etkinliği kaydını başlat'ı tıklayın   . Değişikliğin geçerlilik kazanması 60 dakika kadar sürebilir.

Denetimi açmak için PowerShell'i kullanın

• Yönetici olarak PowerShell aracılığıyla Exchange Online'a bağlanın .
• Kuruluş Özelleştirmesini etkinleştirerek Microsoft 365 kiracınızın Birleşik Denetim Günlüğü için hazır olduğundan emin olun:

Enable-OrganizationCustomization

Birleşik Denetim Günlüğünü etkinleştirmek için aşağıdaki komutu çalıştırın:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Posta kutusu denetimini etkinleştir

Tek bir posta kutusu için denetimi etkinleştirmek için PowerShell komutunu kullanın:

Set-Mailbox -Identity “Test 12” -AuditEnabled $true

Kuruluşunuzdaki tüm posta kutuları için denetimi etkinleştirmek için PowerShell komutunu kullanın:

Get-Mailbox -ResultSize Unlimited -Filter{RecipientTypeDetails -eq “UserMailbox”} | Set-Posta Kutusu -AuditEnabled$true

Denetimi başarıyla etkinleştirip etkinleştirmediğinizi doğrulamak için Exchange Online'da “ Get-Mailbox ” komutunu çalıştırmanız gerekir. AuditEnabled özelliğinin “ True ” değeri, posta kutusu denetim günlüğünü başarıyla etkinleştirdiğinizi onaylar.

Belirli posta kutuları için posta kutusu denetimini devre dışı bırakın

Şu anda, kuruluşunuzda posta kutusu denetimi varsayılan olarak açıkken belirli posta kutuları için posta kutusu denetimini devre dışı bırakamazsınız. Örneğin,  AuditEnabled  posta kutusu özelliğinin  False  olarak ayarlanması yok sayılır.

Ancak,   belirtilen kullanıcılar tarafından yapılan tüm posta kutusu eylemlerinin, eylemlerin nerede gerçekleştiğine bakılmaksızın günlüğe kaydedilmesini  önlemek için Exchange Online PowerShell'de  Set-MailboxAuditBypassAssociation cmdlet'ini kullanmaya devam edebilirsiniz. Örneğin:

• Atlanan kullanıcılar tarafından gerçekleştirilen posta kutusu sahibi eylemleri günlüğe kaydedilmez.
• Atlanan kullanıcılar tarafından diğer kullanıcıların posta kutularında (paylaşılan posta kutuları dahil) gerçekleştirilen temsilci eylemleri günlüğe kaydedilmez.
• Atlanan kullanıcılar tarafından gerçekleştirilen yönetici eylemleri günlüğe kaydedilmez.

Belirli bir kullanıcı için posta kutusu denetim günlüğünü atlamak için:

Set-MailboxAuditBypassAssociation -Identity “Posta Kutusu” -AuditByPassEnabled $true

Belirtilen kullanıcı için denetimin atlandığını doğrulamak için aşağıdaki komutu çalıştırın:

Get-MailboxAuditBypassAssociation “Posta Kutusu” | fl denetimib*

True değeri   , posta kutusu denetim günlüğünün kullanıcı için atlandığını gösterir.

Exchange Online Denetim Raporları

Exchange Online denetim raporları, posta kutusu erişimi ve yöneticiler tarafından bir kuruluşun Exchange Online kiracısında yapılan değişikliklerle ilgili ayrıntıları içerir.

• Sahip olmayan bir posta kutusu erişim raporu çalıştır : Posta kutusunun sahibinden başka biri tarafından erişilen posta kutularının listesini görüntüler. Rapor, posta kutusuna kimlerin eriştiği, posta kutusunda gerçekleştirdiği eylemler ve eylemlerin başarılı olup olmadığı hakkında bilgiler içerir.
• Posta kutusu denetleme günlüklerini dışa aktarma : Posta kutusu denetleme günlükleri, posta kutusu sahibi dışındaki bir kullanıcı tarafından gerçekleştirilen bir posta kutusuna erişim ve eylemler hakkında bilgiler içerir. Yöneticiler, raporlar oluşturmak için bir tarih aralığıyla birlikte posta kutuları belirtebilir. Günlükler XML olarak dışa aktarılır, bir mesaja eklenir ve yönetici tarafından belirlenen belirli kullanıcılara gönderilir.
• Yönetici rol grubu raporu çalıştırın : Yönetici rol grubu, kullanıcılara yönetici ayrıcalıkları atamak için kullanılır. Bu ayrıcalıklar, kullanıcıların parola sıfırlama, posta kutuları oluşturma veya değiştirme ve diğer kullanıcılara yönetici ayrıcalıkları atama gibi yönetim görevlerini gerçekleştirmesine olanak tanır. Yönetici rol grubu raporu, üyelerin eklenmesi veya çıkarılması dahil olmak üzere rol gruplarında yapılan değişiklikleri gösterir.
• Yönetici denetim günlüğünü görüntüleyin : Yönetici denetim günlüğü raporu, Exchange Online'da yöneticiler tarafından gerçekleştirilen tüm oluşturma, güncelleme ve silme işlevlerini listeler. Günlük girişleri, hangi cmdlet'in çalıştırıldığı, hangi parametrelerin kullanıldığı, cmdlet'i kimin çalıştırdığı ve hangi nesnelerin etkilendiği hakkında bilgi sağlar.
• Yönetici denetim günlüğünü dışa aktar : Yönetici denetim günlüğü, Exchange Online'da oluşturma, güncelleme ve silme gibi belirli yönetim eylemlerini kaydeder. Günlükten alınan sonuçlar XML'e aktarılır ve yöneticiler bu günlüğü bir dizi kullanıcıya göndermeyi seçebilir.
• Harici yönetici denetim günlüğünü görüntüleyin ve dışa aktarın : Harici yöneticiler tarafından gerçekleştirilen eylemlerin ayrıntılarını içerir. Girişler, hangi cmdlet'in çalıştırıldığı, hangi parametrelerin kullanıldığı ve Exchange Online'da nesneleri oluşturan, değiştiren veya silen tüm eylemler hakkında bilgi sağlar.

O365 denetim günlükleri powershell

Bir posta kutusu denetimini aramak için:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/22021

Sonuçları bir csv dosyasına aktarmak için:

Search-MailboxAuditLog [email protected] -ShowDetails -BaşlangıçTarihi 01/01/2021 -Bitiş Tarihi 01/31/2021 | Dışa Aktarma-Csv C:\users\AuditLogs.csv -NoTypeInformation

İşlemlere göre günlükleri görüntülemek ve dışa aktarmak için :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Dışa Aktarma-Csv C:\AuditLogs.csv -NoTypeInformation

Oturum açma türlerine göre günlükleri görüntülemek ve dışa aktarmak için :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | Dışa Aktarma-Csv C:\AuditLogs.csv -NoTypeInformation

Birleşik denetim günlüğünü aramak için:

Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

Birleştirilmiş denetim günlüğünün belirli özelliklerini bir CSV dosyasına aktarmak için:

$denetleme günlüğü | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Dışa Aktarma-Csv -Ekle -Yol c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Taşıma kuralı değişikliklerini görüntülemek için :

Search-AdminAuditLog -Cmdlet Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021 Search-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01/01/2021 -EndDate
01/31/2021

Spam filtrelerindeki değişiklikleri görüntülemek için:

Search-AdminAuditLog -Cmdlet Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021 Search-UnifiedAuditLog -Operations Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate
01/31/21

Bağlantı filtresi değişikliklerini kontrol etmek için:

Search-AdminAuditLog -Cmdlet Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021 Search-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate
01/31/21

SharePoint Online'da denetim günlüğü raporları nasıl görüntülenir?

SharePoint Online ortamınızı denetlemek, güvende kalmanıza ve yasal uyumluluk gereksinimlerini karşılamanıza yardımcı olur. SharePoint Online yerel aracınızın sağladığı denetim raporlarını görüntülemek için:

• SharePoint Online'da oturum açın.
• Ayarlar ayar simgesine ve ardından Site ayarları'na tıklayın.
• Site Koleksiyonu Yönetimi bölümünde Denetim günlüğü raporlarını tıklayın.
• Denetim Raporlarını Görüntüle sayfasından istediğiniz raporu (Silme gibi) seçin.
• Raporu kaydetmek istediğiniz kitaplığa bir URL yazın veya Göz atın ve ardından Tamam'ı tıklayın.
• İşlem Başarıyla Tamamlandı sayfasında, Bu raporu görüntülemek için burayı tıklayın öğesini seçin.

SharePoint denetim günlüğü raporları, SharePoint ortamınızdaki tüm etkinlikleri analiz etmenize olanak tanır.

O365 denetim günlükleri API'si

Microsoft, yöneticilerin Microsoft 365 kiracıları hakkında toplu işlem bilgileri elde etmelerini sağlayan raporlama hizmetleri sağlar. Microsoft 365 Yönetim Etkinliği API'si, kimlik doğrulama için endüstri standardı RESTful tasarımı ve OAuth v2'yi kullanır; bu, verileri almayı ve görselleştirme araçlarına ve uygulamalarına almayı denemeye başlamayı kolaylaştırır.

API, Microsoft 365'te kullanıcı, yönetici, işlemler ve güvenlik etkinliği hakkında bilgiler içeren bir veri akışı sağlar. Veriler, yasal amaçlarla tutulabilir veya bir şirket içi altyapıdan veya diğer kaynaklardan sağlanan günlük verileriyle birleştirilebilir. kuruluş genelinde operasyonlar, güvenlik ve uyumluluk için izleme çözümü.

Yönetim Etkinliği API'si şu anda SharePoint Online, OneDrive İş, Exchange Online ve Azure AD'den 150'den fazla işlem türünün kapsamlı bir görünümünü sağlar. API, tüm hizmetlerde ortak olan 10'dan fazla alanla tutarlı bir denetim şeması sağlar.

Bu, kuruluşların olaylar arasında kolay bağlantılar kurmasını sağlar ve veriler üzerinde akıl yürütmenin yeni yollarını sağlar. Düzinelerce Bağımsız Yazılım Satıcısı (ISV), Microsoft ile ortaklık kurdu ve API'ye dayalı çözümler geliştirdi. Bazı çözümler yalnızca Microsoft 365 verilerine odaklanırken, diğerleri tüm işlemler, güvenlik ve uyumlulukla ilgili etkinliklerin birleşik bir görünümünü oluşturmak için birden çok bulut sağlayıcısından ve şirket içi sistemden veri alma yeteneği sağlar. Daha fazla bilgi için Microsoft 365 Yönetim Etkinliği API başvurusuna bakın .

Ayrıca Okuyun : Microsoft Bulut Uygulama Güvenliği: Kesin Kılavuz

Özet

O365 denetim günlüğü, Güvenlik merkezindeki çeşitli özellikleri ve uzak PowerShell ve bir Web Hizmetleri REST API'sini kullanarak günlük verilerini almak ve analiz etmek için programatik yöntemler içerir. Yöneticiler, temel kiracı ve hizmet yapılandırma öğelerinde, belgelerde ve diğer öğelerde yapılan değişiklikleri izlemek için Microsoft Microsoft 365'teki denetleme özelliklerini kullanabilir.