איך למעקב אחר יומני פעילות Office 365 לשיפור האבטחה

מדריכים

כיצד לנטר יומני פעילות של Office 365 לשיפור האבטחה. מחפשים לשפר את האבטחה של Office 365 שלכם? חיוני לנטר את יומני הפעילות של Office 365, ופורטל הרישום המאוחד של Microsoft Office 365 מספק פלטפורמה אחת לעשות זאת.

במאמר זה, אנו חוקרים סקירה כללית של הרישום 365 האחוד של Office. 

לאחר מכן, אנו לומדים את הרישוי ואת דרישות ההרשאה לשימוש ביומן הרישום המאוחד של Microsoft 365. בנוסף, סעיף זה כולל שלבים לבדיקת עמידתכם בדרישות אלה ומה לעשות אם אינכם עומדים בהן. בהמשך, אנו בוחנים כיצד לבדוק האם רישום ביקורת מאוחד מופעל עבור הארגון שלך. לאחר מכן, אנו דנים בשלבים להפעלתו באמצעות פורטל הציות של Microsoft או Windows PowerShell.

לאחר מכן, אנו בוחנים איך לבדוק אם התיעוד המאוחד של יישום הפקדה מופעל עבור הארגון שלך. ואז, אנו מדברים על השלבים להפעלתו דרך מפתח התאמה Microsoft של פורטל או Windows PowerShell . ברגע שהתיעוד של יישום הפקדה מופעל, אנו מכסים איך לחפש, לצפות ולייצא את יישומי התיעוד של Office 365 ל CSV . לבסוף, אנו מראים כיצד לנטר ולנתח את יישומי ה-365 פעילות יישום הפקדה כדי לשפר את האבטחה של הארגון שלך גם קרא איך להגדיר את יישומי פעילות AD Azure לניטור יעיל סקירה של יישום הפקדה המאוחד של Office 365

מיקרוסופט 365 (M365) היא קבוצה של שירותים ענן מבוססים. חלק מהשירותים המצורפים ב-M365 כוללים אזור דרישות פעילות, חיבור מעבר ו-שיתוף תיקים מקוון.

השירותים המוכלים במנוי M365 שלך תלויים במנוי שלך.

עכשיו, עם כל כך הרבה Office 365 שירותים, מפקחים נתקלים באתגר משמעותי לנטר ליומני הפעילות של השירותים השונים לשיפור בטחון הארגון. החדשות הטובות הן שחשבון ההסדרה של Microsoft Purview מספק למפקחים של Microsoft 365 מיקום יחיד להפעלת בדיקה מאוחדת.

עכשיו, אתה בטח תוהה איזה משירותי Microsoft 365 תומכים באוניברסלי בדיקות. כדי לראות את כל השירותים שאתה מנטר, ראה את הרשימה בשירותי Microsoft 365 שתומכים בבדיקות עמוד.

אסור לשכוח איך להתחבר ל-Office 365 באמצעות Powershell

רישיון והרשאות ליומן הבדיקות של Microsoft 365

Microsoft מציעה שני גירסאות של Microsoft Purview Audit, מה שמאפשר לך להפעיל, לחפש ולנהל מעקב אחר יומן האודישן המאוחד של Microsoft 365.

אז, אתה מקבל את Microsoft Purview Audit (Standard) או (Premium), תלוי במנוי ורישיון Microsoft 365 של הארגון שלך. מנוי ורישיון.

כמו כן, מנהלים שצריכים לבצע בדיקת אודיות דו"חות יומן חייבים לקבל את ההרשאות הנדרשות.

כדי להגדיר את דרישות הרישיון וההרשאות של המשתמש, בצע את השלבים הבאים.

שלב 1: וודא שהארגון שלך עומד בדרישות המנוי / רישיון המשתמש

כדי לגשת ל-365 יישום הבקרה המאוחד של מיקרוסופט, הארגון שלך חייב להיות ברמה מינימלית של מיקרוסופט בסיס עסקי/סטנדרטי מנויים. זה זהה לרישיון Azure AD פרימיום P1.

לעומת זאת, כדי לגשת למאפיין בקרה (פרימיום), תצטרך לפחות את המנוי מיקרוסופט 365 תאגידי E5.

בצע את השלבים הבאים כדי לבדוק את המנוי המוקצה לך.

1. בצע את השלבים במאמר שלנו – איך להתחבר לאופיס 365 באמצעות PowerShell – כדי להתקין את מודול MSOnline PowerShell ואז להתחבר לאופיס 365.
2. הפעל את ה- Get-MsolAccountSku כדי לרשום את רשימת רישיונות Microsoft 365 הזמינים בדייר שלך.

2. לאחר מכן, הפעל את הפקודה הבאה כדי להחזיר את הרישיון שהמנהל הקצה לך.

החלף את License_AccountSkuId ב- AccountSkuId (שם הרישיון) מהפקודה האחרונה. כמו כן, החלף את [email protected] ב- UPN שלך של Office 365.

בדוק את ערך הפקודה האחרונה המוצגת בתכונה AccountSkuId. ואז, השווה את זה עם דרישות רישיון Microsoft 365. 

Get-MsolAccountSku

לבסוף, אם הרישיון שהמנהל שלך שמה עליך מופיע, בדוק את דרישות ההרשאות של Microsoft 365 באמצעות השלבים במדבר הבא. 

Get-MsolUser | Where-Object { ($_.Licenses[0].AccountSkuId -eq "License_AccountSkuId") -and ($_.UserPrincipalName -eq "[email protected]" ) } | Select-Object UserPrincipalName, DisplayName -ExpandProperty Licenses

אסור לשכוח לקרוא גם Get-AzureADAuditSignInLogs – מצא את רשימת ההיכנסות ליומן ב-30 הימים האחרונים ב-PowerShell

שלב 2: וודא שהחשבון שלך עומד בדרישות ההרשאות

כדי לצפות ולרוץ בחיפושים מאוחדים של Office 365 בדיקה יומנים, מנהלים או משתמשים חייבים להיות משוייכים ל- צפייה רק בדו"ח יומנים או יומני בדיקה תפקיד ב- Exchange Online. ניהול הסדרה ניהול ו- ניהול הארגון קבוצות תפקידים יש את ההרשאות הנדרשות כבר מראש.

כמו כן, חברים בקבוצת Office 365 מנהלים גלובליים מוספים ל- ניהול הארגון קבוצת תפקידים בExchange Online כבר מראש.

עקוב אחר השלבים להלן כדי לבדוק אם חשבון יש את ההרשאה הנדרשת לאפשר ולחפש את יומני הבדיקה. אם אתה מנהל גלובלי עבור שכבת Office 365 שלך, להתעלם מהשלבים להלן ולהמשיך לחלק הבא.

1. פתח את מרכז הניהול של Exchange Online דרך admin.exchange.microsoft.com. לאחר מכן, הרחיב את תפקידים ולחץ על "תפקידי ניהול". 
2. בתיבת החיפוש של עמוד "תפקידי ניהול", הקלד "ניהול" כדי להחזיר רק תפקידים המכילים את המונח הזה. לאחר מכן, לחץ על הסדרה ניהול תפקיד.

3. בכרטיסיה הסדרה ניהול תפקיד פרויקטיבי, לחץ על "מוקצה". כל משתמשים המופיעים בכרטיסיה זו זכאים לראות תיעוד חשבון חיפושים. 

כדי להוסיף משתמש לתפקיד זה, לחץ על כפתור "הוסף +" – ראה צילום מסך שני. 

4. חזור על שלב 3 עבור התפקיד ניהול מוסד.

קרא גם 15 פקודות Office 365 PowerShell עיליות (משתמשים, קבוצות, רישיון)

בדוק את מצב התיעוד הנוכחי של רישום בדיקה עבור המוסד שלך

לפני שמשתמשים בחלון הרגולציה של מיקרוסופט לניטור Office 365 יומני פעילות כדי לשפר אבטחה של שירותים של הארגון שלך, עליך להפעיל עקידה ניטור. מופעל כברירת מחדל בארגונים עם מיקרוסופט 365 ורשימות תחומי Office 365

עם זאת, מיקרוסופט אולי לא מפעילה ביקורת בחלק ממנויי Microsoft 365 כברירת מחדל. אז, זה רעיון טוב לוודא האם ביקורת מופעלת בדיור שלך O365 לפני שאתה ממשיך. 

עקוב אחר השלבים למטה כדי לבדוק את מצב הביקורת הנוכחי.

1. השתמש בשלבים במאמר שלנו התחברות לחברת Exchange מקוון באמצעות PowerShell כדי להתחבר לדייר של Exchange מקוון שלך.
2. ברגע שחיברת ל-Exchange מקוון,

התמונה הבאה מראה את כל הפקודות שאתה צריך להתקין את מודול PowerShell של Exchange מקוון. לאחר מכן, התחבר והפעל את Get-AdminAuditLogConfig כדי לקבוע אם האזנה מופעלת עבור הארגון שלך.

אם הפקודה Get-AdminAuditLogConfig מחזירה את הנתון UnifiedAuditLogIngestionEnabled כמו True, זה מעיד על כך שהאזנה המאוחדת מופעלת עבור הארגון שלך. אם היא מחזירה ערך של False, זה אומר שהאזנה אינה מופעלת.

לכן, מתוך תוצאות הפקודה שלי Get-AdminAuditLogConfig , האזנה אינה מופעלת, מאחר והערך הוא שקרי. אם זו המצב שלך, עבור אל הקטע הבא כדי לאפשר אזנה. 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

כמו כן, קרא איך לבדוק אם MFA מופעל ב-Office 365 עבור משתמשים

הפעל את יומני האזנה המאוחדים של Office 365

מיקרוסופט מציעה 2 שיטות להפעיל יומני תיקון של Office 365 כדי לפקח על יומני פעילות משתמשים לשיפור בטחון הארגון בטחון. באופן ספציפי, עשו זאת דרך מרכז התאימות או PowerShell

הפעל בדיקה באמצעות מרכז התאימות

1. פתח- compliance.microsoft.com
2. היכנס לאזור פתרונות ולחץ על בדיקה. או פתח באופן ישיר את מרחב הבדיקה על ידי לחיצה על compliance.microsoft.com/auditlogsearch.

3. לבסוף, הפעל את יומן האינטגרציה של מיקרוסופט 365, לחץ "התחל לרשום פעילות משתמשים ומנהלים".

אפשר לקחת עד 60 דקות לשינוי להתחיל להשפיע.

קרא גם פרוס את דו"ח קשרי Office 365

הפעל בדיקה באמצעות Windows PowerShell

אם עדיין יש לך את ה PowerShell קונסולת, שבה התחברת למודול Exchange Online PowerShell, הפעל את הפקודה שלהלן כדי לאפשר אודיוטיקה מאוחדת M365. אתה חייב להפעיל את הפקודה הראשונה לפני השנייה.

אתה עשוי לקבל הודעת שגיאה, אם תפעיל את הפקודה Set-AdminAuditLogConfig ללא הפעלת הפקודה Enable-OrganizationCustomization תחילה.

שים לב שהפקודה Enable-OrganizationCustomization לוקחת זמן מה להשלים. כמו כן, לאחר שהפעלת אודיוטיקה מאוחדת, עשוי לקחת עד 60 דקות להשפיע.

לאחר מכן, הפעל מחדש את הפקודה Get-AdminAuditLogConfig כדי לאשר את סטטוס ההתחברות לאודיוטיקה.

אם בהצלחה הפעלת אודיוטיקה באמצעות Compliance Portal או Windows PowerShell , הפקודה האחרונה צריכה להחזיר את UnifiedAuditLogIngestionEnabled כמו True. ראה את הצילום מסך למטה. 

Enable-OrganizationCustomization
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

לבסוף, עשוי לכבות את ההתחברות לאודיוטיקה המאוחדת עבור הארגון שלך Microsoft 365 על ידי הפעלת הפקודה למטה.

גם לקרוא Office 365 מול Exchange Online – מה ההבדל?

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

חיפוש ומעקב אחרי פעילות יומן אודות Office 365 לשיפור האבטחה

בואו נבחן כיצד לחפש את זה לפעילויות רלוונטיות של משתמש ושל מנהלים.

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

בסעיף זה, אנו מראים לך כיצד לבצע חיפוש יומן אודות ולייצא את התוצאה ל-CSV. כמו כן, אנו מסבירים כיצד לנתח את היומנים הפעילות של Office 365 המיוצאים Activity Logs לשיפור האבטחה.

גם לקרוא תכנסו לדו"חות משתמשי Office 365

שלב 1 (אפשרות 1 מתוך 2):

ביצוע חיפוש יומן אודות Office 365 בחלונת הניהול הנכונה

1. פתח את דף ניהול אודות התקינות של Microsoft compliance.microsoft.com/auditlogsearch. לאחר מכן, הגדר את קריטריוני החיפוש בהתאם למספרים בתמונה הבאה:

(1) טווח תאריך ושעה (UTC): כלי חיפוש בדיקה בוחר באופן ברור את 7 הימים האחרונים כברירת מחדל.

עם זאת, בחר טווח נתונים של עד 90 ימים מתאריך ההתחלה. שים לב שבחירה של יותר מ -90 ימים מחזירה הודעת שגיאה.

(2) חיפוש מילות מפתח: אם אתה זקוק לכלי האוניברסלי של Office 365 לבדוק יומנים על מילה או ביטוי, הזן אותו בשדה זה.


(3) פעילויות: רשימה אונלותר עם רשימה ארוכה של תיבות תיקון.

(4) סוג רשומה: חפש סוגי רשומות ספציפיים כמו Azure Active Directory.

(5) עבודה: כדי לסווג את קריטריוני החיפוש לפי עבודה, לחץ על הנפת ובדוק את שירות Office 365 ממנו אתה רוצה לצפות ביומני בדיקה.

(6) משתמשים: כדי לסנן את יומני הספק הבדיקה למשתמשים ספציפיים, השתמש בקריטריון החיפוש כדי להזין את שמם. אם תשאיר את השדה למשתמש ריק, כלי החיפוש של פורטל ה合规性 יחזיר יומני בדיקה עבור כל המשתמשים ברחבי שירותי Microsoft 365 שלך.

(7) קבצים, תיקיות או אתרים: חפש פעילות הקשורה לקובץ או תיקייה המכילים מילה מפתח ספציפית על ידי הקלדת חלק או כולם משמו. גם מאפשר לציין את כתובת האתר של קובץ או תיקייה.

(8) שם חיפוש: קבע שם לחיפוש, ואז לחץ על חיפוש. לבסוף, כדי לצפות בסטטוס של הדוחות, לחץ על רענן.

גם קרא קבל חברים של קבוצת דירקטוריום פעיל וייצא ל-CSV באמצעות PowerShell

שלב 1 (אפשרות 2 מתוך 2):

הפעל חיפוש ב-Office 365 בדיקת יומן באמצעות PowerShell

השתמש ב-PowerShell כדילבצע חיפושים ביומני בדיקה של Office 365. אין צורך להשתמש ב-PowerShell אם כבר השתמשת בחלון הניהול של מעקב ההתאמה

1. התחבר ל-Exchange מקוון באמצעות PowerShell – על ידי הרצת הפקודות הבאות בסדר:

2. ברגע שמתחברים ל-Exchange מקוון, הרוץ את Search-UnifiedAuditLog כדי לחפש ביומן הבדיקה המאוחד של Microsoft 365. 

ה- StartDate ו- EndDate הם הפרמטרים הנדרשים היחידים עבור פקודה זו. עם זאת, לפקודה יש פרמטרים נוספים. 

הפקודות למטה מחפשות אחר כל יומני הבדיקה ב-30 הימים האחרונים. 

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName username@DomainNAme.com #change "[email protected]" to your M365 UPN

הפקודה מחזירה נתוני יומן הבדיקה עבור ה- תאריך שאתה קובע עם ה- StartDate ו- EndDate פרמטרים. שים לב שתאריך ההתחלה חייב להיות קודם לתאריך הסיום.

גם קרא בדוק יומני אירועי Azure AD עבור התחברות משתמשים (הצלחות וכישלונות)

שלב 2: צפו וייצאו את יומני פעילות אָפיס 365

$EndDate = Get-date
$StartDate = (Get-date).AddDays(-30)
Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

ייצאו את הדוח ל CSV מחלון התיק תקינות או באמצעות PowerShell.

לחצו על דוח כדי לייצא אותו מחלון התיק תקינות. לאחר מכן, לחצו על הכפתור "ייצוא". 

הדו"ח חיפוש חדש לא השיב תוצאות כשכתבנו את המאמר במאי 2023. אני חושב שהיה באג עם זה. 

לכן, השתמשנו בחיפוש קלאסי במקום. לבסוף, כדי להוריד את יומני האירועים, לחצו על "ייצוא", ואז בחרו "הורדת כל התוצאות"

או, אם אתם מעדיפים לייצא את התוצאה של ה יומן אירועים המאוחד של מיקרוסופט 365 באמצעות PowerShell, השתמשו בתכנית שלמטה. 

התכנית כוללת כמה מהפקודות ב"שלב 1 (אפשרות 2 מתוך 2): הפעל חיפוש ביומן אירועי אופיס 365 באמצעות PowerShell".

# הפעל את פקודת החיפושUnifiedAuditLog ושמור את התוצאות ב משתנה

# המר את מצביע AuditData של כל אובייקט NoteProperty לאובייקט PowerShell ובחר את התכונות הרצויות

# הצג את הטבלה המתקבלת

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName "[email protected]" #change "[email protected]" to your M365 UPN
$StartDate = (Get-date).AddDays(-30)
$EndDate = Get-date
# Run the Search-UnifiedAuditLog cmdlet and store the results in a variable
$auditLogResults = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

# Convert the AuditData property of each NoteProperty object into a PowerShell object and select the desired properties
$table = $auditLogResults.AuditData | ForEach-Object {
    $auditData = ConvertFrom-Json $_
    [PSCustomObject] @{
        CreationTime = $auditData.CreationTime
        RecordType = $auditData.RecordType
        "Op Performed By" = $auditData.UserDisplayName
        "Op UserType" = $auditData.UserType
        "Op UserKey" = $auditData.UserKey
        "Op ClientIP" = $auditData.ClientIP
        Operation = $auditData.Operation
        ResultStatus = $auditData.ResultStatus
        ModifiedProperties = ($auditData.ModifiedProperties | Out-String).Trim()
    }
}

# Display the resulting table
$table | Format-Table
# Export the resulting table to a CSV file
$table | Export-Csv -Path "D:\report\auditLogResults.csv" -NoTypeInformation

# הוצא את הטבלה המתקבלת לקובץ CSV

התסריט מציג תוצאות בחדר הפורט של PowerShell ומייצא אותו לקובץ CSV. 

קרא גם כיצד לאבטח אזרו AD מפני איומי סייבר

שלב 3: נתח את יומני הפעילות של 365 והשתמש בהם למען אבטחה משופרת

לפעמים משתמשים בניטור יומני פעילות Office 365 למען שיפור האבטחה, ולעיתים כך עושים בגלל צורך בהסדרות.
לאחר שייצאו יומני הבדיקה של M365, השלב הבא הוא לנתח אותם.

כללנו דוגמה של דוח שייצאנו באמצעות התסריט של פורט שלנו.

כאשר משתמשים בדוח לשיפור האבטחה, חיפשו תבניות ופעולות פוטנציאליות שעשויות להוביל להכשלות אבטחה. לעומת זאת, אם אתה זקוק ליומני תיקון למטרות הסדרתיות, חפש מקרים של הפרות תקינות.

קרא גם שימוש במדיניות גישה מותנית לשיפור אבטחת Office 365

איך לפקח על יומני פעילות Office 365 לשיפור האבטחה מסקנה

  • לסיכום, על ידי פיקוח על יומני פעילות Office 365, אתה משפר את האבטחה של הארגון שלך. לאורך המדריך הזה, כיסינו את הנושאים הבאים:
  • מבוא ליישום יומן בדיקה מאוחד של Office 365, כולל שירותי Microsoft 365 שהוא תומך.
  • רישיון והרשאות יומן בדיקה של Microsoft 365, שהם הכרחיים לצורך פיקוח על יומני פעילות Office 365.
  • השלבים לבדוק את מצב היישום של יומן בדיקה עבור הארגון שלך.
  • שלבים לאפשר את ייעודי הפקד המאוחד של Office 365 דרך פורטל תשתית ו-PowerShell.

איך לחפש ולפקח על פעילות ייעודי הפקד של Office 365, מה שמאפשר לך להשתמש בהם כדי לשפר את האבטחה של הארגון שלך.

Source:
https://infrasos.com/how-to-monitor-office-365-activity-logs-for-improved-security/