향상된 보안을 위한 오피스 365 활동 로그 모니터링 방법

튜토리얼

오피스 365 활동 로그를 모니터링하여 보안을 개선하는 방법. 조직의 보안을 강화하고 싶으신가요? Office 365의 활동 로그를 모니터링하는 것이 중요합니다. 그리고 Microsoft의 통합 Office 365 감사 로깅 포털은 이를 수행할 수 있는 단일 플랫폼을 제공합니다.

이 기사에서는 Office 365 통합 감사 로깅에 대한 개요를 살펴보겠습니다.

그런 다음, Microsoft 365 통합 감사 로그를 사용하기 위한 라이선싱 및 권한 요구 사항을 배우고, 이러한 요구 사항을 충족하는지 확인하는 단계와 충족하지 못할 경우 어떻게 해야 하는지 알아보겠습니다.다음으로, 조직에서 통합 감사 로깅이 활성화되어 있는지 확인하는 방법을 살펴보고, 규정 준수 포털 또는 Windows PowerShell을 통해 활성화하는 단계를 논의하겠습니다.

다음으로, 조직에 통합 감사 로깅이 활성화되어 있는지 확인하는 방법을 살펴보겠습니다. 그런 다음, Microsoft 규정 준수 포털 또는 Windows PowerShell을 통해 활성화하는 단계를 논의합니다.

감사 로깅이 활성화되면 Office 365 감사 로그를 CSV로 검색, 보기 및 내보내는 방법을 다룹니다. 마지막으로 365 활동 로그를 모니터링하고 분석하여 조직의 보안을 개선하는 방법을 보여 드리겠습니다.

또한 읽으십시오 Azure AD 활동 로그를 효과적으로 모니터링하기 위한 구성 방법

Office 365 통합 감사 로깅 개요

마이크로소프트 365 (M365)는 클라우드 기반 서비스 세트입니다. M365에 포함된 일부 서비스로는 Azure Active Directory, Exchange Online, SharePoint Online이 있습니다.

사용자의 M365 구독에 포함된 서비스는 구독 유형에 따라 다릅니다.

이제 많은 Office 365 서비스로 인해 관리자들은 조직의 보안을 개선하기 위해 다양한 서비스의 활동 로그를 모니터링하는 상당한 과제에 직면해 있습니다. 좋은 소식은 Microsoft Purview 준수 포털이 Microsoft 365 관리자에게 통합 감사를 설정할 수 있는 단일 위치를 제공한다는 것입니다.

이제 Microsoft 365 서비스 중 어떤 것이 통합 감사를 지원하는지 궁금해하실 것입니다. 모니터링하는 모든 서비스를 보려면 감사를 지원하는 Microsoft 365 서비스 페이지의 목록을 참조하세요.

또한 읽으십시오 PowerShell을 사용하여 Office 365에 연결하는 방법

Microsoft 365 감사 로그 라이선싱 및 권한

마이크로소프트는 마이크로소프트 퓨뷰 감사의 두 가지 버전을 제공하는데, 이를 통해 사용자는 마이크로소프트 365 통합 감사 로그를 활성화, 검색 및 모니터링할 수 있습니다.

따라서 사용자는 조직의 마이크로소프트 365 구독 및 라이선싱에 따라 마이크로소프트 퓨뷰 감사(표준) 또는 (프리미엄)을 선택할 수 있습니다.

또한, 감사로그 보고서를 실행해야 하는 관리자는 필요한 권한을 부여받아야 합니다.

라이선싱 및 사용자 권한 요구 사항을 구성하려면 다음 단계를 완료하세요.

1단계: 조직이 구독/사용자 라이선싱 요구 사항을 충족하는지 확인하세요.

마이크로소프트 365 통합 감사 로그에 접근하려면 조직에는 최소한 마이크로소프트 비즈니스 기본/표준 구독이 있어야 합니다. 이는 Azure AD 프리미엄 P1 라이선스와 동일합니다.

반면에 감사(프리미엄) 기능에 접근하려면 최소한 Microsoft 365 Enterprise E5 구독이 필요합니다.

할당된 구독을 확인하려면 아래 단계를 따르세요.

1. 우리 기사의 단계를 따르세요 – Office에 연결하는 방법 365 Powershell을 사용하여 – MSOnline PowerShell 모듈을 설치한 다음 Office 365에 연결하세요.
2. Get-MsolAccountSku 명령을 실행하여 테넌트에서 사용 가능한 Microsoft 365 라이선스를 나열하세요.

Get-MsolAccountSku

2. 다음으로 관리자가 할당한 라이선스를 반환하는 아래 명령을 실행하세요.

Get-MsolUser | Where-Object { ($_.Licenses[0].AccountSkuId -eq "License_AccountSkuId") -and ($_.UserPrincipalName -eq "[email protected]" ) } | Select-Object UserPrincipalName, DisplayName -ExpandProperty Licenses

License_AccountSkuId를 마지막 명령에서 가져온 AccountSkuId(라이선스 이름)로 교체하고 Office 365 UPN으로 [email protected]을 교체하세요.

사용자 계정의 AccountSkuId 속성에 표시된 마지막 명령어의 값을 확인하세요. 그런 다음, Microsoft 365 라이선싱 요구 사항과 비교하세요.

마지막으로, 관리자가 할당한 라이선스가 목록에 있는 경우, 다음 하위 섹션의 단계를 사용하여 Microsoft 365 권한 요구 사항을 확인하세요.

참고 읽기 Get-AzureADAuditSignInLogs – 마지막 30일 동안의 로그인 로그 PowerShell 찾기

2단계: 계정이 권한 요구 사항을 충족하는지 확인하세요.

오피스 365 통합 감사 로그 검색을 보고 실행하려면 관리자 또는 사용자는 보기 전용 감사 로그 또는 감사 로그 역할을 Exchange Online에서 할당받아야 합니다. 준수 관리 및 조직 관리 역할 그룹에는 기본적으로 필요한 권한이 있습니다.

또한 Office 365 글로벌 관리자 그룹의 구성원은 기본적으로 Exchange Online의 조직 관리 역할 그룹에 추가됩니다.

다음 단계를 따라 감사 로그를 사용하고 검색할 수 있는 필요한 권한이 있는지 확인하십시오. Office 365 테넌트의 글로벌 관리자인 경우 아래 단계를 무시하고 다음 섹션으로 진행하십시오.

1. Exchange Online 관리 센터를 열고 admin.exchange.microsoft.com을 통해 이동합니다. 다음으로, 역할을 확장하고 “관리 역할”을 클릭합니다.
2. “관리 역할” 페이지의 검색 상자에 “관리”를 입력하여 해당 용어를 포함하는 역할만 반환합니다. 그런 다음, 규정 준수 역할을 클릭합니다.

3. 규정 준수 관리 역할 플라이아웃에서 “할당됨” 탭을 클릭합니다. 이 탭에 나열된 모든 사용자는 검색 감사 로그를 볼 수 있는 권한이 있습니다.

이 역할에 사용자를 추가하려면 “추가” 버튼을 클릭하십시오 – 두 번째 스크린샷을 참조하십시오.

4. 조직 관리 역할에 대해 3단계를 반복합니다.

또한 읽으십시오 Office 365 PowerShell 명령 상위 15개 (사용자, 그룹, 라이선싱)

조직의 감사 로깅 현재 상태 확인

조직의 서비스에 대한 보안을 개선하기 위해 Microsoft 준수 포털을 사용하여 모니터링 Office 365 활동 로그를 사용하기 전에 보안을 향상시키기 위해 감사 모니터링을 사용하도록 설정해야 합니다. Microsoft 365 및 Office 365 기업 구독으로 기본적으로 활성화되어 있습니다.

그러나 Microsoft는 일부 Microsoft 365 구독에서 감사를 기본적으로 활성화하지 않을 수 있습니다. 따라서 감사가 O365 테넌트에서 활성화되어 있는지 확인한 후 진행하는 것이 좋습니다.

현재 감사 상태를 확인하려면 아래 단계를 따르세요.

1. 우리의 Exchange Online에 연결하기 위한 PowerShell 단계를 사용하여 Exchange Online 테넌트에 연결합니다.
2. Exchange Online에 연결한 후,

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

아래 스크린샷은 Exchange Online PowerShell 모듈을 설치하고 연결하고 실행하는 데 필요한 모든 명령을 보여줍니다. Get-AdminAuditLogConfig를 실행하여 당신의 조직에 대한 감사가 활성화되어 있는지 확인하십시오.

만약 Get-AdminAuditLogConfig 명령이 UnifiedAuditLogIngestionEnabled 속성을 True 로 반환하면, 이는 당신의 조직에 대한 통합 감사가 켜져 있음을 나타냅니다. 만약 그것이 False 값을 반환하면, 이는 감사가 꺼져 있음을 의미합니다.

그래서, 내 Get-AdminAuditLogConfig 명령의 결과에 따라, 감사는 꺼져 있습니다, 값이 False이기 때문입니다. 만약 이것이 당신의 상황이라면, 감사를 활성화하기 위해 다음 섹션으로 진행하십시오.

또한 읽어보세요 사용자를 위한 Office 365의 MFA가 활성화되어 있는지 확인하는 방법

Office 365 통합 감사 로그 활성화

마이크로소프트는 조직의 365 보안을 개선하기 위해 사용자 활동 로그를 모니터링하기 위한 감사 로그를 활성화하는 2가지 방법을 제공합니다. 특히, 준수 포털 또는 PowerShell을 통해 이를 수행할 수 있습니다.

준수 포털을 사용하여 감사 기능 활성화

1. compliance.microsoft.com을 엽니다.
2. Solutions 섹션으로 이동하여 Audit를 클릭하거나, compliance.microsoft.com/auditlogsearch를 클릭하여 감사 섹션을 직접 열 수 있습니다.

3. 마지막으로, Microsoft 365 통합 감사 로그를 활성화하고 “사용자 및 관리자 활동 기록 시작”을 클릭하세요.

변경 사항이 적용되기까지 최대 60분이 소요될 수 있음에 유의하세요.

추가 읽기 Office 365 연락처 보고서 배포

Windows PowerShell을 사용하여 감사 기능 활성화

만약 여전히 Exchange Online PowerShell 모듈에 연결된 PowerShell 콘솔을 사용 중이라면, 통합 M365 감사를 활성화하기 위해 아래 명령어를 실행하세요. 두 번째 명령어를 실행하기 전에 첫 번째 명령어를 반드시 실행해야 합니다.

Set-AdminAuditLogConfig 명령어를 Enable-OrganizationCustomization 명령어를 먼저 실행하지 않고 실행하면 오류 메시지가 나타날 수 있습니다.

Enable-OrganizationCustomization

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Enable-OrganizationCustomization 명령어는 완료하는 데 시간이 걸립니다. 또한, 통합 감사 로깅을 활성화한 후 최대 60분이 걸릴 수 있습니다.

그런 다음, Get-AdminAuditLogConfig 명령어를 다시 실행하여 감사 로그인 상태를 확인하세요.

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

통합 감사를 준수 포털 또는 Windows PowerShell을 통해 성공적으로 활성화했다면, 마지막 명령어는 UnifiedAuditLogIngestionEnabled를 True.로 반환해야 합니다. 아래 스크린샷을 참조하세요.

마지막으로, 아래 명령어를 실행하여 Microsoft 365 조직의 통합 감사 로그인을 끌 수 있습니다.

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

또한 읽으십시오 Office 365와 Exchange Online의 차이점은 무엇인가요?

보안을 개선하기 위해 Office 365 감사 활동 로그 검색 및 모니터링

사용자와 관리자 활동에 대한 관련 정보를 검색하는 방법을 살펴보겠습니다.

이 섹션에서는 감사 로그 검색을 실행하고 결과를 CSV로 내보내는 방법을 보여드리며, 내보낸 Office 365 활동 로그를 분석하여 보안을 개선하는 방법을 설명합니다.

또한 읽으십시오 Office 365 사용자 보고서 확인

1단계 (2가지 옵션 중 1번):

준수 포털에서 Office 365 감사 로그 검색 실행

1. 마이크로소프트 준수 감사 페이지 compliance.microsoft.com/auditlogsearch를 연 다음, 아래 스크린샷의 번호를 따라 검색 기준을 설정하세요:

(1) 날짜 및 시간 범위 (UTC): 감사 검색 도구는 기본적으로 마지막 7일을 선택합니다.

그러나 시작 날짜부터 최대 90일의 데이터 범위를 선택하십시오. 90일 이상을 선택하면 오류 메시지가 반환됩니다.

(2) 키워드 검색: Office 365 통합 감사 도구가 단어나 구에 대한 로그를 찾도록 필요하다면, 이 필드에 입력하십시오.

(3) 활동: 긴 목록의 체크박스가 있는 드롭다운입니다.

(4) 레코드 유형: Azure 활성 디렉토리와 같은 특정 레코드 유형을 검색합니다.

(5) 작업 부하: 검색 기준을 작업 부하별로 필터링하려면 드롭다운을 클릭하고 감사 로그를 보려는 Office 365 서비스를 체크하십시오.

(6) 사용자: 감사 로그에서 특정 사용자를 필터링하려면 검색 기준을 사용하여 이름을 입력하세요. 사용자 필드를 비워 두면 준수 포털 검색 도구가 Microsoft 365 서비스에 대한 모든 사용자의 감사 로그를 반환합니다.

(7) 파일, 폴더 또는 사이트: 특정 키워드를 포함하는 파일이나 폴더와 관련된 활동을 검색하려면 이름의 일부 또는 전체를 입력하세요. 또한 파일이나 폴더의 URL을 지정할 수 있습니다.

(8) 검색 이름: 검색에 이름을 지정한 후 검색을 클릭하세요. 마지막으로 보고서의 상태를 확인하려면 새로 고침을 클릭하세요.

또한 읽으십시오 PowerShell을 사용하여 Active Directory 그룹의 멤버를 가져와 CSV로 내보내기

1단계 (2/2 옵션):

PowerShell을 사용하여 Office 365 감사 로그 검색 실행

PowerShell을 사용하여 Office 365 감사 로그 검색을 수행합니다. 이미 규정 준수 포털을 사용한 경우 PowerShell을 사용할 필요가 없습니다.

1. PowerShell을 사용하여 Exchange Online에 연결하려면 다음 명령을 순서대로 실행하세요.

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName username@DomainNAme.com #change "[email protected]" to your M365 UPN

2. Exchange Online에 연결되면 Search-UnifiedAuditLog를 실행하여 Microsoft 365 통합 감사 로그를 검색합니다.

이 cmdlet에는 StartDate와 EndDate 매개 변수가 필요하지만 다른 매개 변수도 있습니다.

다음 명령은 지난 30일 동안의 모든 감사 로그를 검색합니다.

$EndDate = Get-date
$StartDate = (Get-date).AddDays(-30)
Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

명령은 날짜 범위를 사용하여 지정하는 StartDate와 EndDate 매개 변수에 대한 감사 로그 데이터를 반환합니다. 시작 날짜는 종료 날짜보다 이전이어야 합니다.

또한 읽으십시오 사용자 로그인(성공 실패)을 위해 Azure AD 감사 로그 확인

2 단계: Office 365 감사 활동 로그 보기 및 내보내기

보고서를 CSV로 내보내기준수 포털 또는 PowerShell을 통해.

준수 포털에서 보고서를 클릭하여 내보내기한 다음 내보내기 버튼을 클릭하십시오.

우리가 이 기사를 2023년 5월에 작성했을 때 새 검색 감사 보고서는 결과가 없었습니다. 버그가 있었다고 의심합니다.

그래서 대신 클래식 검색을 사용했습니다. 마지막으로 감사 로그를 다운로드하려면 “내보내기”를 클릭한 다음 “모든 결과 다운로드”를 선택하십시오.

또는 원하는 경우 사용자의 Microsoft 365 통합 감사 로그 결과를 PowerShell을 사용하여 내보내려면 아래 스크립트를 사용하십시오.

이 스크립트에는 “1단계(2/2 옵션): PowerShell을 사용하여 Office 365 감사 로그 검색 실행“에 있는 몇 가지 명령어가 포함되어 있습니다.

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName "[email protected]" #change "[email protected]" to your M365 UPN
$StartDate = (Get-date).AddDays(-30)
$EndDate = Get-date
# Run the Search-UnifiedAuditLog cmdlet and store the results in a variable
$auditLogResults = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

# Convert the AuditData property of each NoteProperty object into a PowerShell object and select the desired properties
$table = $auditLogResults.AuditData | ForEach-Object {
    $auditData = ConvertFrom-Json $_
    [PSCustomObject] @{
        CreationTime = $auditData.CreationTime
        RecordType = $auditData.RecordType
        "Op Performed By" = $auditData.UserDisplayName
        "Op UserType" = $auditData.UserType
        "Op UserKey" = $auditData.UserKey
        "Op ClientIP" = $auditData.ClientIP
        Operation = $auditData.Operation
        ResultStatus = $auditData.ResultStatus
        ModifiedProperties = ($auditData.ModifiedProperties | Out-String).Trim()
    }
}

# Display the resulting table
$table | Format-Table
# Export the resulting table to a CSV file
$table | Export-Csv -Path "D:\report\auditLogResults.csv" -NoTypeInformation

# 검색을 실행합니다.–UnifiedAuditLog cmdlet을 실행하고 결과를 변수에 저장합니다.

# AuditData 속성 을 각 NoteProperty 개체를 PowerShell 개체로 변환하고 원하는 속성을 선택합니다.

# 결과 테이블을 표시합니다.

# 결과 테이블을 CSV 파일로 내보냅니다.

이 스크립트는 PowerShell 콘솔에 결과를 표시하고 CSV 파일로 내보냅니다.

또한 읽어보세요 Azure AD를 사이버 위협으로부터 보호하는 방법

3단계: 365 활동 로그를 분석하고 개선된 보안을 위해 사용하세요.

일부 조직은 모니터링을 통해 Office 365 활동 로그를 개선된 보안을 위해 사용하거나 규정 준수를 위해 사용합니다.
M365 감사 로그를 내보낸 후 다음 단계는 로그를 분석하는 것입니다.

위의 PowerShell 스크립트를 사용하여 내보낸 샘플 보고서를 포함하였습니다.

보안을 개선하기 위해 보고서를 사용할 때 보안 위반으로 이어질 수 있는 패턴과 잠재적 행동을 찾아보십시오. 반대로 감사 로그를 규정 준수를 위해 필요로 하는 경우 규정 준수 위반의 사례를 검색하십시오.
또한 읽으십시오 조건부 액세스 정책을 사용하여 Office 365 보안 강화
Office 365 활동 로그 모니터링을 통한 개선된 보안 결론
결론적으로, Office 365 활동 로그를 모니터링함으로써 당사의 보안을 강화합니다. 이 가이드를 통해 다음을 다루었습니다.
Office 365 통합 감사 로깅 개요, 포함 Microsoft 365 서비스를 지원합니다.

Microsoft 365 감사 로그 라이선싱 및 권한, 이는 Office 365 활동 로그 모니터링에 필요합니다.

Source:
https://infrasos.com/how-to-monitor-office-365-activity-logs-for-improved-security/