Come monitorare i registri delle attività di Office 365 per migliorare la sicurezza

Tutorial

Come monitorare i log delle attività di Office 365 per un miglioramento della sicurezza. Cerchi di migliorare la sicurezza del tuo Office 365? È cruciale monitorare i log delle attività di Office 365, e il portale unificato di registrazione delle attività di Office 365 di Microsoft fornisce una piattaforma unica per farlo.

In questo articolo, esploreremo una panoramica della registrazione delle attività unificate di Office 365.

Successivamente, apprenderemo i requisiti di licenza e autorizzazione per utilizzare il registro di verifica unificato di Microsoft 365. Inoltre, questa sezione include i passaggi per verificare se si soddisfano tali requisiti e cosa fare in caso contrario. Prossimamente, esamineremo come verificare se la registrazione unificata delle attività è abilitata per la tua organizzazione. Poi, discuteremo i passaggi per abilitarla tramite il portale di conformità di Microsoft o tramite Windows PowerShell.

Successivamente, esaminiamo come verificare se l’archiviazione unificata dei log di audit è abilitata per la tua organizzazione. Quindi, discutiamo i passaggi per abilitarla attraverso il portale Microsoft conformità o Windows PowerShell.

Una volta abilitato l’archiviazione dei log di audit, spieghiamo come cercare, visualizzare ed esportare i log di audit di Office 365 in CSV. Infine, mostriamo come monitorare e analizzare i log di attività di 365 activity logs per migliorare la sicurezza della tua organizzazione.

Also Read Come Configurare i Log di Attività di Azure AD per un Monitoraggio Efficace

Panoramica dell’Archiviazione Unificata dei Log di Audit di Office 365

Microsoft 365 (M365) è un insieme di servizi basati sul cloud. Alcuni servizi inclusi in M365 sono Azure Active Directory, Exchange Online e SharePoint Online.

I servizi inclusi nella tua sottoscrizione M365 dipendono dalla tua sottoscrizione.

Ora, con così tanti Office 365 servizi, gli amministratori si trovano di fronte alla notevole sfida di monitorare i log attività delle varie funzionalità per migliorare la sicurezza dell’organizzazione. La buona notizia è che il portale di conformità Microsoft Purview offre agli amministratori di Microsoft 365 un’unica posizione per abilitare un audit unificato.

Ora, potresti chiederti quali servizi Microsoft 365 supportano l’audit unificatoaudit. Per visualizzare tutti i servizi che monitori, consulta l’elenco nella pagina Servizi Microsoft 365 che supportano l’audit.

Leggi ancheCome connettersi a Office 365 utilizzando Powershell

Licenza e autorizzazioni per il registro di controllo di Microsoft 365

Microsoft offre due versioni del Microsoft Purview Audit, che consente di abilitare, cercare e monitorare i log di controllo unificati di Microsoft 365.

Quindi, si ottiene il Microsoft Purview Audit (Standard) o il (Premium), a seconda della sottoscrizione e della licenza di Microsoft 365 della tua organizzazione. Microsoft 365 subscription and licensing.

Inoltre, gli amministratori che devono eseguire report di controllo log devono essere concessi i permessi richiesti.

Per configurare i requisiti di licenza e di autorizzazione utente, completa questi passaggi.

Passaggio 1: Verifica che la tua organizzazione soddisfi i requisiti di sottoscrizione / licenza utente

Per accedere al registro di audit unificato di Microsoft 365, la tua organizzazione deve avere un minimo di abbonamenti a Microsoft Business Basic/Standard. È lo stesso dell’abbonamento Azure AD Premium P1.

Al contrario, per accedere alla funzionalità Audit (Premium), è necessario disporre almeno dell’abbonamento Microsoft 365 Enterprise E5.

Segui i passaggi seguenti per verificare il tuo abbonamento assegnato.

1. Segui i passaggi nel nostro articolo – Come Connettersi a Office 365 utilizzando Powershell – per installare il modulo MSOnline PowerShell. Quindi, connettiti a Office 365.
2. Esegui il comando Get-MsolAccountSku per elencare le licenze Microsoft 365 disponibili nel tuo tenant. 

Get-MsolAccountSku

2. Successivamente, esegui il comando seguente per restituire la licenza che l’amministratore ti ha assegnato. 

Get-MsolUser | Where-Object { ($_.Licenses[0].AccountSkuId -eq "License_AccountSkuId") -and ($_.UserPrincipalName -eq "[email protected]" ) } | Select-Object UserPrincipalName, DisplayName -ExpandProperty Licenses

Sostituisci License_AccountSkuId con AccountSkuId (il nome della licenza) dal comando precedente. Inoltre, sostituisci [email protected] con il tuo UPN di Office 365.

Controlla il valore dell’ultimo comando visualizzato nella proprietà AccountSkuId. Quindi, confronta quello con le requisiti di licenza di Microsoft 365.


Infine, se la licenza che il tuo amministratore ti ha assegnato è elencata, controlla i requisiti di autorizzazione di Microsoft 365 utilizzando i passaggi nella sottosezione successiva.

Leggi anche Get-AzureADAuditSignInLogs – Trova i log di accesso degli ultimi 30 giorni con PowerShell

Passo 2: Conferma che il tuo account soddisfa i requisiti di autorizzazione

Per visualizzare e eseguire ricerche nel registro di audit unificato di Office 365, gli amministratori o gli utenti devono essere assegnati al ruolo View Only Audit Logs o Audit Logs in Exchange Online. I gruppi di ruolo Compliance Management e Organization Management hanno le autorizzazioni richieste per impostazione predefinita.

Inoltre, i membri del gruppo Office 365 Global Administrators vengono aggiunti al gruppo di ruolo Organization Management in Exchange Online per impostazione predefinita.

Seguire i passaggi seguenti per verificare se un account dispone dell’autorizzazione richiesta per abilitare e ricercare i log di audit. Se sei un Global Admin per il tuo tenant Office 365, ignora i passaggi seguenti e passa alla sezione successiva.

1. Apri il centro di amministrazione di Exchange Online tramite admin.exchange.microsoft.com. Successivamente, espandi Ruoli e fai clic su “Ruoli amministrativi”.
2. Nella casella di ricerca della pagina “Ruoli amministrativi”, inserisci “gestione” per restituire solo i ruoli che includono quel termine. Quindi, fai clic sul ruolo Compliance Management.


3. Nel riquadro volante del ruolo Compliance Management, fai clic sulla scheda “Assegnato”. Tutti gli utenti elencati in questa scheda hanno il permesso di visualizzare i log di controllo delle ricerche.

Per aggiungere un utente a questo ruolo, fai clic sul pulsante “Aggiungi” – vedi la seconda schermata.



4. Ripeti il passaggio 3 per il ruolo Organization Management.


Leggi ancheTop 15 comandi PowerShell di Office 365 (Utenti, Gruppi, Licensing)

Verifica lo stato corrente del logging di controllo per la tua organizzazione.

Prima di utilizzare il portale di conformità Microsoft per monitorare Office 365 log attività per migliorare sicurezza dei servizi della tua organizzazione, è necessario abilitare il monitoraggio degli audit monitoraggio. Abilitato di default nelle organizzazioni con abbonamenti enterprise Microsoft 365 e Office 365.

Tuttavia, Microsoft potrebbe non abilitare gli audit per alcuni abbonamenti Microsoft 365 di default. Quindi, è una buona idea confermare se gli audit sono abilitati nel tuo tenant O365 prima di procedere.

Segui i passaggi seguenti per verificare lo stato attuale dell’auditing.

1. Seguire le istruzioni presenti nell’articolo Connettersi a Exchange Online utilizzando PowerShell per connettersi al tenant di Exchange Online.
2. Una volta connessi a Exchange Online, 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

La schermata seguente mostra tutti i comandi necessari per installare il modulo di PowerShell per Exchange Online. Successivamente, connettersi e eseguire il Get-AdminAuditLogConfig per verificare se l’audit è abilitato per la propria organizzazione.


Se il Get-AdminAuditLogConfig restituisce la proprietà UnifiedAuditLogIngestionEnabled come True, significa che l’audit unificato è attivato per la propria organizzazione. Se restituisce un valore di False, significa che l’audit non è attivato.

Quindi, dal risultato del mio Get-AdminAuditLogConfig comando, l’audit non è attivato, poiché il valore è False. Se si trova in questa situazione, procedere alla sezione successiva per abilitare l’audit.

Leggi anche Come verificare se MFA è abilitato in Office 365 per gli utenti

Abilita i registri di audit unificati di Office 365.

Microsoft offre 2 metodi per abilitare i log di controllo di Office 365 per monitorare i log di attività degli utenti user allo scopo di migliorare la sicurezza dell’organizzazione. In particolare, questo può essere fatto tramite il Portale di conformità o PowerShell

Abilitare l’auditing tramite il Portale di conformità

1. Aprire – compliance.microsoft.com
2. Passare alla sezione Soluzioni e fare clic su Audit. In alternativa, aprire direttamente la sezione Audit facendo clic su compliance.microsoft.com/auditlogsearch.

3. Infine, abilitare il log di controllo unificato di Microsoft 365, fare clic su “Inizia a registrare l’attività degli utenti e degli amministratori”.

Si noti che potrebbero voler passare fino a 60 minuti affinché il cambiamento abbia effetto.

Leggi anche Distribuire i rapporti dei contatti di Office 365

Abilitare l’auditing tramite Windows PowerShell

Se disponi ancora della console PowerShell, dove ti sei connesso al modulo Exchange Online PowerShell, esegui il comando seguente per abilitare l’auditing unificato di M365. Devi eseguire il primo comando prima del secondo.

Potresti ricevere un messaggio di errore, se esegui il comando Set-AdminAuditLogConfig senza eseguire prima il comando Enable-OrganizationCustomization. 

Enable-OrganizationCustomization
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Nota che il comando Enable-OrganizationCustomization richiede del tempo per essere completato. Inoltre, dopo aver abilitato la registrazione dell’audit unificato, potrebbe richiedere fino a 60 minuti per entrare in vigore.


Quindi, esegui di nuovo il comando Get-AdminAuditLogConfig per confermare lo stato della registrazione dell’audit. 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Se hai abilitato con successo l’auditing tramite il Portale di Compliance o Windows PowerShell, l’ultimo comando dovrebbe restituire UnifiedAuditLogIngestionEnabled come True. Vedi lo screenshot seguente.


Infine, puoi disattivare la registrazione dell’audit unificato per la tua organizzazione Microsoft 365 eseguendo il comando seguente.

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

Leggi anche Office 365 vs Exchange Online — Qual è la differenza?

Cerca e monitora le attività degli audit di Office 365 per una maggiore sicurezza

Esploriamo come cercare informazioni su attività utente e amministrative rilevanti.

In questa sezione, ti mostriamo come eseguire una ricerca nel registro degli audit e come esportare i risultati in CSV. Inoltre, spieghiamo come analizzare i log di Office 365 attività esportati per migliorare la sicurezza.

Leggi anche Controlla i report degli utenti di Office 365

Passo 1 (Opzione 1 di 2):

Esegui una ricerca nel registro degli audit di Office 365 nel portale di conformità

1. Apri la pagina di Microsoft Compliance Audit compliance.microsoft.com/auditlogsearch. Successivamente, imposta i criteri di ricerca seguendo il numero nello screenshot qui sotto:

(1) Intervallo di data e ora (UTC): lo strumento di ricerca dell’audit seleziona di default gli ultimi 7 giorni.

Tuttavia, seleziona il tuo intervallo di dati fino a 90 giorni dalla data di inizio. Si noti che la selezione di più di 90 giorni restituisce un messaggio di errore.

(2) Ricerca per parola chiave: se hai bisogno dello strumento di audit unificato di Office 365 per trovare i log relativi a una parola o a una frase, inseriscila in questo campo.

(3) Attività: un menu a discesa con una lunga lista di caselle di controllo.

(4) Tipo di record: ricerca per tipi di record specifici come Azure Active Directory.

(5) Workload: Per filtrare i criteri di ricerca per workload, fai clic sul menu a discesa e seleziona il servizio di Office 365 dal quale desideri visualizzare i log di audit.

(6) Utenti: per filtrare i log di controllo per specifici utenti, utilizzare il criterio di ricerca per inserire i loro nomi. Se lascia vuoto il campo utente, lo strumento di ricerca del portale di conformità restituisce i log di controllo per tutti gli utenti attraverso i servizi Microsoft 365.

(7) File, cartelle o siti: cerca attività relative a un file o a una cartella contenente una parola chiave specifica digitando una parte o l’intero nome. Consente inoltre di specificare l’URL di un file o di una cartella.

(8) Nome della ricerca: assegnare un nome alla ricerca, quindi fare clic su Ricerca. Infine, per visualizzare lo stato dei report, fare clic su Aggiorna.


Leggi anche Ottieni membri del gruppo Active Directory ed esportali in CSV utilizzando PowerShell

Passo 1 (Opzione 2 di 2):

Eseguire una ricerca nel log di controllo Office 365 utilizzando PowerShell

Utilizzare PowerShell per eseguire ricerche nel registro di controllo di Office 365. Non è necessario utilizzare PowerShell se è già stato utilizzato il Portale di conformità

1. Connettersi a Exchange Online utilizzando PowerShell eseguendo i seguenti comandi in ordine:

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName username@DomainNAme.com #change "[email protected]" to your M365 UPN

2. Una volta connessi a Exchange Online, eseguire il Search-UnifiedAuditLog per cercare nel registro di controllo unificato di Microsoft 365. 

Il StartDate e il EndDate sono i parametri obbligatori per questo cmdlet. Tuttavia, il cmdlet ha altri parametri. 

I comandi seguenti cercano tutti i registri di controllo negli ultimi 30 giorni. 

$EndDate = Get-date
$StartDate = (Get-date).AddDays(-30)
Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

Il comando restituisce i dati del registro di controllo per il intervallo di date specificato con il StartDate e il EndDate parametri. Si noti che la data di inizio deve essere precedente alla data di fine.

Leggi anche Controlla i log di controllo di Azure AD per gli accessi degli utenti (successo fallimento)

Passo 2: Visualizza ed esporta i log di attività di controllo di Office 365

Esporta il report in CSV dal Portale di conformità o tramite PowerShell.

Fai clic su un report per esportarlo dal Portale di conformità. Quindi, fai clic sul pulsante Esporta. 

Il Nuovo Ricerca il report di controllo non ha prodotto risultati quando abbiamo scritto questo articolo a maggio 2023. Suppongo che ci fosse un bug con esso. 

Quindi, abbiamo usato il Ricerca classica invece. Infine, per scaricare i log di controllo, fai clic su “Esporta”, quindi seleziona “Scarica tutti i risultati”

In alternativa, se preferisci esportare il risultato tuo del registro di controllo unificato di Microsoft 365 usando PowerShell, usa lo script qui sotto. 

Lo script include alcuni dei comandi nel “Passo 1 (Opzione 2 di 2): Esegui una Ricerca nel registro di controllo di Office 365 utilizzando PowerShell”.

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName "[email protected]" #change "[email protected]" to your M365 UPN
$StartDate = (Get-date).AddDays(-30)
$EndDate = Get-date
# Run the Search-UnifiedAuditLog cmdlet and store the results in a variable
$auditLogResults = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

# Convert the AuditData property of each NoteProperty object into a PowerShell object and select the desired properties
$table = $auditLogResults.AuditData | ForEach-Object {
    $auditData = ConvertFrom-Json $_
    [PSCustomObject] @{
        CreationTime = $auditData.CreationTime
        RecordType = $auditData.RecordType
        "Op Performed By" = $auditData.UserDisplayName
        "Op UserType" = $auditData.UserType
        "Op UserKey" = $auditData.UserKey
        "Op ClientIP" = $auditData.ClientIP
        Operation = $auditData.Operation
        ResultStatus = $auditData.ResultStatus
        ModifiedProperties = ($auditData.ModifiedProperties | Out-String).Trim()
    }
}

# Display the resulting table
$table | Format-Table
# Export the resulting table to a CSV file
$table | Export-Csv -Path "D:\report\auditLogResults.csv" -NoTypeInformation

# Esegui il cmdlet SearchUnifiedAuditLog e memorizza i risultati in una variabile

# Converti la proprietà AuditData di ciascun oggetto NoteProperty in un oggetto PowerShell e seleziona le proprietà desiderate

# Visualizza la tabella risultante

# Esporta la tabella risultante in un file CSV

Lo script visualizza i risultati sul console di PowerShell ed esporta in un file CSV. 

Leggi anche Come Proteggere Azure AD Contro le Minacce Cibernetiche

Passo 3: Analizza i Log di Attività di 365 e Utilizzali per Migliorare la Sicurezza

Alcune organizzazioni monitorano i log di attività di Office 365 per migliorare la sicurezza, mentre altre lo fanno per motivi di conformità.
Dopo aver esportato i log di controllo di M365, il passo successivo è analizzarli.

Abbiamo incluso un rapporto di esempio che abbiamo esportato utilizzando lo script PowerShell sopra.

  • Quando si utilizza il report per migliorare la sicurezza, cerca modelli e potenziali azioni che potrebbero portare a violazioni della sicurezza. Al contrario, se hai bisogno dei log di controllo per motivi di conformità, cerca casi di violazioni della conformità.
  • Leggi anche L’uso di criteri di accesso condizionale per migliorare la sicurezza di Office 365
  • Come monitorare i log attività di Office 365 per una maggiore sicurezza Conclusione
  • In conclusione, monitorando i log attività di Office 365, migliori la sicurezza della tua organizzazione. In questa guida, abbiamo trattato quanto segue:
  • Una panoramica del Logging di controllo unificato di Office 365, compresi i servizi di Microsoft 365 che supporta.

Licenze e autorizzazioni del Log di controllo di Microsoft 365, che sono necessarie per monitorare i log attività di Office 365.

Source:
https://infrasos.com/how-to-monitor-office-365-activity-logs-for-improved-security/