改善されたセキュリティのためにOffice 365アクティビティログを監視する方法

チュートリアル

オフィス365のアクティビティログを監視してセキュリティを強化する方法。セキュリティを向上させたいOffice 365の所有者ですか?そのためには、監視が不可欠です。アクティビティログをOffice 365で行い、Microsoftの統一されたOffice 365監査ロギングポータルがそれを行うための単一のプラットフォームを提供します。

この記事では、Office365の統一監査ロギングの概要を探ります。

次に、Microsoft 365統一監査ログを使用するためのライセンスとアクセス許可の要件を学びます。また、このセクションでは、これらの要件を満たしているかどうかを確認する手順と、満たしていない場合にどうすればよいかを説明します。次に、組織の統一監査ロギングが有効になっているかどうかを確認する方法を調べます。その後、MicrosoftコンプライアンスポータルまたはWindowsPowerShellを介してそれを有効にする手順について説明します。

次に、組織の統一監査ロギングが有効になっているかどうかを確認する方法を調べます。次に、MicrosoftコンプライアンスポータルまたはWindowsPowerShellを介してそれを有効にする手順について説明します。

監査ロギングが有効になると、Office 365監査ログを検索、表示、およびエクスポートする方法について説明します。 CSV。最後に、365 アクティビティログを監視および分析して、組織のセキュリティを改善する方法を示します。

また読む Azure ADアクティビティログを効果的に監視するために構成する方法

Office 365統一監査ロギングの概要

Microsoft 365 (M365)は、クラウドベースのサービスのセットです。M365に含まれるサービスには、Azure Active DirectoryExchange Online、およびSharePoint Onlineがあります。

あなたのM365サブスクリプションに含まれるサービスは、サブスクリプションによって異なります。

現在、Office 365のサービスがたくさんあるため、管理者は組織のセキュリティを向上させるために、さまざまなサービスのアクティビティログを監視する大きな課題に直面しています。良いニュースは、Microsoft Purview コンプライアンスポータルがMicrosoft 365の管理者に統一監査を有効にするためのシングルロケーションを提供していることです。

さて、Microsoft 365のどのサービスが統一監査をサポートしているのか疑問に思うでしょう。監視するすべてのサービスを表示するには、監査をサポートするMicrosoft 365サービスページのリストを参照してください。

また読むPowerShellを使用してOffice 365に接続する方法

Microsoft 365監査ログライセンスとアクセス許可

Microsoftは、Microsoft 365統一監査ログの有効化、検索、監視ができるMicrosoft Purview Auditの2つのバージョンを提供しています。

そのため、組織のMicrosoft Purview Audit (Standard)または(Premium)を選択することができます。これは、組織のMicrosoft 365サブスクリプションとライセンスによって異なります。

また、監査ログレポートを実行する管理者は、必要なアクセス許可を付与されている必要があります。

ライセンスとユーザー権限の要件を設定するために、以下の手順を完了してください。

ステップ1: 組織がサブスクリプション/ユーザーライセンス要件を満たしていることを確認する

Microsoft 365統一監査ログにアクセスするには、組織は少なくともMicrosoft Business Basic/Standardサブスクリプションを持っている必要があります。これはAzure AD Premium P1ライセンスと同じです。 

一方、Audit (Premium)機能にアクセスするには、少なくともMicrosoft 365 Enterprise E5サブスクリプションが必要です。 

以下の手順に従って、割り当てられたサブスクリプションを確認してください。 

1. 記事「Office 365にPowerShellを使用して接続する方法」の手順に従って、MSOnline PowerShellモジュールをインストールし、Office 365に接続します。 
2. Get-MsolAccountSkuコマンドを実行して、テナント内の利用可能なMicrosoft 365ライセンスを一覧表示します。 

Get-MsolAccountSku

2. 次に、以下のコマンドを実行して、管理者によって割り当てられたライセンスを返します。 

Get-MsolUser | Where-Object { ($_.Licenses[0].AccountSkuId -eq "License_AccountSkuId") -and ($_.UserPrincipalName -eq "[email protected]" ) } | Select-Object UserPrincipalName, DisplayName -ExpandProperty Licenses

License_AccountSkuIdを前のコマンドからのAccountSkuId(ライセンス名)に置き換えます。また、[email protected]をOffice 365 UPNで置き換えてください。

アカウントの最後に表示されたコマンドのAccountSkuIdプロパティの値を確認します。その後、Microsoft 365ライセンス要件と比較します。

最後に、管理者が割り当てたライセンスがリストされている場合は、次のセクションの手順を使用してMicrosoft365のアクセス許可要件を確認します。

さらに読む Get-AzureADAuditSignInLogs – PowerShellで過去30日間のサインインログを検索

ステップ2: アカウントがアクセス許可要件を満たしていることを確認する

Office 365統合監査ログ検索を表示して実行するには、管理者またはユーザーは、オンリービュー監査ログまたは監査ログロールをExchange Onlineで割り当てられている必要があります。 コンプライアンス管理および組織管理ロールグループには、既定で必要なアクセス許可があります。

さらに、Office 365グローバル管理者グループのメンバーは、既定でExchange Onlineの組織管理ロールグループに追加されます。

監査ログを有効にして検索するためのアカウントのアクセス許可があるかどうかを確認するには、以下の手順に従ってください。 Office365テナントのグローバル管理者の場合は、以下の手順を無視して次のセクションに進んでください。

1. Exchange Onlineの管理センターをadmin.exchange.microsoft.comから開きます。次に、ロールを展開し、「管理者ロール」をクリックします。
2. 「管理者ロール」ページの検索ボックスに「management」と入力して、その用語を含むロールだけを返します。次に、コンプライアンスマネジメントロールをクリックします。

3. コンプライアンスマネジメントロールのフライアウトで、「割り当て済み」タブをクリックします。このタブにリストされているユーザーは、検索監査ログを表示する権限があります。

このロールにユーザーを追加するには、「+ 追加」ボタンをクリックします – 2番目のスクリーンショットを参照してください。

4. 組織の管理ロールの手順3を繰り返します。

さらに読むトップ15のOffice 365 PowerShellコマンド(ユーザー、グループ、ライセンス)

組織の監査ロギングの現在の状態を確認する

Microsoftのコンプライアンスポータルを使用して、組織のサービスの監視を向上させるためにOffice365アクティビティログセキュリティで強化する前に、監査監視を有効にする必要があります。Microsoft365およびOffice365エンタープライズサブスクリプションの組織では、デフォルトで有効になっています。

ただし、Microsoftは、一部のMicrosoft365サブスクリプションで監査をデフォルトで有効にしていない場合があります。そのため、O365テナントで監査が有効になっているかどうかを確認してから進むことをお勧めします。

以下の手順に従って、現在の監査状態を確認してください。

1.私たちのExchangeに接続オンラインでPowerShellを使用する記事の手順を使用して、Exchange Onlineテナントに接続します。
2. Exchange Onlineに接続したら、

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

以下のスクリーンショットは、Exchange Online PowerShellモジュールをインストールするために必要なすべてのコマンドを示しています。次に、接続してGet-AdminAuditLogConfigを実行して、監査が組織で有効になっているかどうかを判断します。

もしGet-AdminAuditLogConfig コマンドがUnifiedAuditLogIngestionEnabledプロパティをTrue, と返す場合、それは統一監査が組織でオンになっていることを示します。値がFalseを返す場合、監査がオフになっていることを意味します。

そのため、私のGet-AdminAuditLogConfig コマンドの結果から、監査はオフになっています。値がFalseだからです。これがあなたの状況であれば、監査を有効にする次のセクションに進んでください。

さらに読むOffice365のユーザーに対してMFAが有効になっているかどうかを確認する方法

Office365 Unified Audit Logsを有効にする

MicrosoftはOffice 365の監査ログを有効にするための2つの方法を提供しており、これによりユーザーのアクティビティログを監視し、組織のセキュリティを向上させることができます。具体的には、コンプライアンスポータルまたはPowerShellを使用してこれを行うことができます。

コンプライアンスポータルを使用して監査を有効にする

1.開く – compliance.microsoft.com
2. ソリューションセクションに移動し、監査をクリックします。または、compliance.microsoft.com/auditlogsearchをクリックして監査セクションを直接開くこともできます。

3.最後に、Microsoft365統一監査ログを有効にし、「ユーザーおよび管理者アクティビティの記録を開始」をクリックします。

変更が有効になるまで最大60分かかる場合があることに注意してください。

さらに読む Office365コンタクトレポートの展開

Windows PowerShellを使用して監査を有効にする

もしまだPowerShell コンソールがあり、Exchange Online PowerShellモジュールに接続している場合は、統一M365監査を有効にするために以下のコマンドを実行してください。最初のコマンドを実行してから2番目のコマンドを実行する必要があります。

Set-AdminAuditLogConfigコマンドを最初にEnable-OrganizationCustomizationコマンドを実行せずに実行すると、エラーメッセージが表示される場合があります。

Enable-OrganizationCustomization
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Enable-OrganizationCustomizationコマンドは完了するまでにしばらく時間がかかります。また、統一監査ログ記録を有効にした後、最大60分かかる場合があります。

次に、Get-AdminAuditLogConfigコマンドを再実行して、監査ログインの状態を確認してください。

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

監査をコンプライアンスポータルまたはWindows PowerShell経由で正常に有効にした場合、最後のコマンドはUnifiedAuditLogIngestionEnabledをTrue.と返すはずです。以下のスクリーンショットを参照してください。

最後に、以下のコマンドを実行して、Microsoft365組織の統一監査ログインをオフにすることができます。

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

また読む Office365とExchange Online—違いは何ですか?

セキュリティを向上させるためにOffice365監査アクティビティログを検索して監視する

関連するユーザーおよび管理者アクティビティを検索する方法を調べましょう。

このセクションでは、監査ログ検索を実行して結果をCSVにエクスポートする方法を示します。さらに、エクスポートされたOffice365のアクティビティログを分析してセキュリティを向上させる方法を説明します。

また読む Office365ユーザー報告をチェック

ステップ1(2のうちのオプション1):

コンプライアンスポータルでOffice365監査ログ検索を実行する

1. Microsoftコンプライアンス監査ページcompliance.microsoft.com/auditlogsearchを開きます。次に、下のスクリーンショットの番号に従って検索条件を設定します。

(1)日付と時間範囲 (UTC):監査検索ツールはデフォルトで過去7日間を選択します。

ただし、開始日から最大90日間のデータ範囲を選択してください。90日を超える範囲を選択するとエラーメッセージが表示されます。

(2)キーワード検索: Office365統一監査ツールで単語やフレーズに関するログを検索する必要がある場合は、このフィールドに入力してください。

(3)アクティビティ:長いリストのチェックボックスがあるドロップダウン。

(4)レコードタイプ: Azure Active Directoryなどの特定のレコードタイプを検索します。

(5)ワークロード:検索条件をワークロードでフィルタリングするには、ドロップダウンをクリックして、監査ログを表示したいOffice365サービスをチェックしてください。

(6)ユーザー:特定の監査ログをフィルタリングするために、検索条件を使用してその名前を入力してください。ユーザーフィールドを空白のままにすると、コンプライアンスポータル検索ツールは、Microsoft365サービス全体のすべてのユーザーの監査ログを返します。

(7)ファイル、フォルダ、またはサイト:特定のキーワードを含むファイルまたはフォルダに関連するアクティビティを検索するには、その名前の一部またはすべてを入力します。また、ファイルまたはフォルダのURLを指定することもできます。

(8)検索名:検索に名前を付け、[検索]をクリックします。最後に、レポートの状態を表示するには、更新をクリックします。

また読む:PowerShellを使用してActive Directoryグループのメンバーを取得し、CSVにエクスポートする

ステップ1(オプション2/2):

PowerShellを使用してOffice365監査ログ検索を実行する

PowerShellを使用して実行するOffice365 監査ログ検索。コンプライアンスポータル

を既に使用している場合は、PowerShellを使用する必要はありません。1. PowerShellを使用してExchangeに接続するOnline-次のコマンドを順番に実行します。

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName username@DomainNAme.com #change "[email protected]" to your M365 UPN

2. Exchange Onlineに接続したら、Search-UnifiedAuditLogを実行してMicrosoft365統一監査ログを検索します。

TheStartDateEndDateパラメーターは、このコマンドレットの唯一の必須パラメーターです。ただし、コマンドレットには他のパラメーターもあります。

次のコマンドは、過去30日間のすべての監査ログを検索します。

$EndDate = Get-date
$StartDate = (Get-date).AddDays(-30)
Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

コマンドは、日付範囲に対して監査ログデータを返します。StartDateとEndDateパラメーターで指定します。開始日が終了日より前であることに注意してください。

また読む Azure AD監査ログでユーザーサインインを確認する(成功・失敗)

ステップ2: Office365監査アクティビティログの表示とエクスポート

レポートをCSV形式でコンプライアンスポータルから、またはPowerShellを使用してエクスポートします。

コンプライアンスポータルでレポートをクリックしてエクスポートします。次に、エクスポートボタンをクリックします。 

2023年5月にこの記事を書いたとき、新しい検索監査レポートは結果がありませんでした。それにはバグがあったと思われます。 

そこで、代わりにクラシック検索を使用しました。最後に、監査ログをダウンロードするには、「エクスポート」をクリックし、「すべての結果をダウンロード」を選択します。

また、PowerShellを使用してあなたのMicrosoft365統一監査ログの結果をエクスポートする場合は、以下のスクリプトを使用してください。 

このスクリプトには、「ステップ1(2つのオプションのうち2つ目):PowerShellを使用してOffice365監査ログ検索を実行する」のコマンドが含まれています。

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName "[email protected]" #change "[email protected]" to your M365 UPN
$StartDate = (Get-date).AddDays(-30)
$EndDate = Get-date
# Run the Search-UnifiedAuditLog cmdlet and store the results in a variable
$auditLogResults = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

# Convert the AuditData property of each NoteProperty object into a PowerShell object and select the desired properties
$table = $auditLogResults.AuditData | ForEach-Object {
    $auditData = ConvertFrom-Json $_
    [PSCustomObject] @{
        CreationTime = $auditData.CreationTime
        RecordType = $auditData.RecordType
        "Op Performed By" = $auditData.UserDisplayName
        "Op UserType" = $auditData.UserType
        "Op UserKey" = $auditData.UserKey
        "Op ClientIP" = $auditData.ClientIP
        Operation = $auditData.Operation
        ResultStatus = $auditData.ResultStatus
        ModifiedProperties = ($auditData.ModifiedProperties | Out-String).Trim()
    }
}

# Display the resulting table
$table | Format-Table
# Export the resulting table to a CSV file
$table | Export-Csv -Path "D:\report\auditLogResults.csv" -NoTypeInformation

#検索を実行UnifiedAuditLogコマンドレットを実行し、結果を変数に格納

#各 NotePropertyオブジェクトの AuditDataプロパティを PowerShellオブジェクトに変換し、必要なプロパティを選択

#結果のテーブルを表示

#結果のテーブルをCSVファイルにエクスポート

スクリプトは PowerShellコンソールに結果を表示し、CSVファイルにエクスポートします。

さらに読む Azure ADをサイバー脅威から保護する方法

ステップ3:365アクティビティログを分析し、セキュリティを向上させるために使用する

一部の組織は監視 Office365アクティビティログを向上セキュリティのために行い、他の組織はのためにコンプライアンスの目的で行います。
M365監査ログをエクスポートした後、次のステップはそれらを分析することです。

上記の PowerShellスクリプトを使用してエクスポートしたサンプルレポートを含めました。

  • セキュリティを向上させるためにレポートを使用する際は、セキュリティ侵害につながる可能性のあるパターンや潜在的なアクションを探します。逆に、監査ログがコンプライアンスの目的で必要な場合は、コンプライアンス違反の事例を検索します。
  • さらに読む 条件付きアクセスポリシーを使用してOffice365のセキュリティを強化する
  • Office365アクティビティログの監視によるセキュリティの向上の結論
  • 結論として、Office365 アクティビティログを監視することで、組織のセキュリティが向上します。このガイド全体を通じて、以下の内容を説明しました。
  • Office365ユニファイド監査ロギングの概要、およびサポートされているMicrosoft365サービス。

Office365アクティビティログの監視に必要なMicrosoft365監査ログのライセンスとアクセス許可。

Source:
https://infrasos.com/how-to-monitor-office-365-activity-logs-for-improved-security/