Hoe Office 365-activiteitenlogs monitoren voor verbeterde beveiliging

Handleidingen

Hoe de Activiteitenlogboeken van Office 365 te controleren voor verbeterde beveiliging. Op zoek om de beveiliging van uw Office 365 te verbeteren? Het is cruciaal om de activiteitenlogboeken van Office 365 te controleren, en het unified Office 365-auditlogboek van Microsoft biedt een enkel platform om dat te doen.

In dit artikel verkennen we een overzicht van het unified auditlogboek van Office 365

Vervolgens leren we over de licentie- en toestemmingsvereisten om het Microsoft 365 unified auditlogboek te gebruiken. Bovendien omvat deze sectie stappen om te controleren of u aan deze vereisten voldoet en wat u moet doen als dat niet het geval is. Vervolgens onderzoeken we hoe u kunt controleren of het unified auditlogboek is ingeschakeld voor uw organisatie. Dan bespreken we de stappen om het in te schakelen via het Microsoft compliance portaal of Windows PowerShell.

Vervolgens bekijken we hoe u kunt controleren of geconsolideerde controlelogboekregistratie is ingeschakeld voor uw organisatie. Vervolgens bespreken we de stappen om dit in te schakelen via het Microsoft compliantie portaal of Windows PowerShell.

Zodra controlelogboekregistratie is ingeschakeld, behandelen we hoe u Office 365 controlelogboeken kunt zoeken, weergeven en exporteren naar CSV. Tot slot laten we zien hoe u de 365 activiteitenlogboeken kunt bewaken en analyseren om de beveiliging van uw organisatie te verbeteren.

Lees ook Hoe u Azure AD-activiteitenlogboeken kunt configureren voor effectieve bewaking

Overzicht van de Office 365 Geconsolideerde Controlelogboekregistratie

Microsoft 365 (M365) is een verzameling van cloud-gebaseerde diensten. Enkele diensten die in M365 zijn opgenomen, zijn Azure Active Directory, Exchange Online en SharePoint Online.

De diensten die in uw M365-abonnement zijn opgenomen, hangen af van uw abonnement.

Nu, met zoveel Office 365 diensten, worden beheerders geconfronteerd met de aanzienlijke uitdaging om de activiteitenlogs van de verschillende diensten te bewaken voor verbeterde beveiliging van de organisatie. Het goede nieuws is dat het Microsoft Purview compliance portal Microsoft 365-beheerders een enkele locatie biedt om geïntegreerde controle in te schakelen. 

Nu, je moet je afvragen welke Microsoft 365-diensten geïntegreerde controle ondersteunen. Om alle diensten te bekijken die u bewaakt, zie de lijst op de Microsoft 365-diensten die controle ondersteunen pagina. 

Lees ook Hoe verbinding maken met Office 365 met behulp van Powershell

Microsoft 365 Audit Log Licensing en Machtigingen

Microsoft biedt twee versies van de Microsoft Purview Audit, die u in staat stelt om Microsoft 365 geïntegreerde controlelogboeken in te schakelen, te zoeken en te controleren.

Zo krijgt u de Microsoft Purview Audit (Standard) of (Premium), afhankelijk van uw organisatie’s Microsoft 365 abonnement en licentievoorwaarden.

Bovendien moeten beheerders die controlelograpporten moeten uitvoeren, de benodigde machtigingen krijgen.

Om de licentie- en gebruikersmachtigingsvereisten in te stellen, voert u de volgende stappen uit.

Stap 1: Zorg ervoor dat uw organisatie voldoet aan de abonnements-/gebruikerslicentievereisten

Om toegang te krijgen tot het geconsolideerde auditlogboek van Microsoft 365, moet uw organisatie over ten minste een abonnement van Microsoft Business Basic/Standard beschikken. Dit is hetzelfde als de Azure AD Premium P1-licentie.

Om het tegenovergestelde te doen, om toegang te krijgen tot de Audit (Premium) functie, heeft u ten minste het Microsoft 365 Enterprise E5 abonnement nodig.

Volg de onderstaande stappen om uw toegewezen abonnement te controleren.

1. Volg de stappen in ons artikel – Hoe verbinding te maken met Office 365 met behulp van Powershell – om de MSOnline PowerShell Module te installeren. Verbind vervolgens met Office 365.
2. Voer de Get-MsolAccountSku-opdracht uit om de beschikbare Microsoft 365-licentie in uw tenant te vermelden. 

Get-MsolAccountSku

2. Voer vervolgens de onderstaande opdracht uit om de licentie te retourneren die uw beheerder aan u heeft toegewezen. 

Get-MsolUser | Where-Object { ($_.Licenses[0].AccountSkuId -eq "License_AccountSkuId") -and ($_.UserPrincipalName -eq "[email protected]" ) } | Select-Object UserPrincipalName, DisplayName -ExpandProperty Licenses

Vervang License_AccountSkuId door de AccountSkuId (de licentienaam) uit de laatste opdracht. Vervang ook [email protected] door uw Office 365 UPN.

Controleer de waarde van de laatste opdracht die wordt weergegeven in de eigenschap AccountSkuId. Vergelijk dit vervolgens met de Microsoft 365-licentievereisten

Ten slotte, als de licentie die uw beheerder u heeft toegewezen, vermeld staat, controleer dan de Microsoft 365 machtigingsvereisten met behulp van de stappen in het volgende onderdeel. 

Lees ook  Get-AzureADAuditSignInLogs – Zoek naar aanmeldingen van de laatste 30 dagen PowerShell

Stap 2: Zorg ervoor dat uw account aan de machtigingsvereisten voldoet

Om Office 365 geïntegreerdeaudittlogzoekopdrachten weer te geven en uit te voeren, moeten beheerders of gebruikers toegewezen zijn aan de Alleen-lezen Audit Logs of Audit Logs rol in Exchange Online. De Compliance Management en Organisatiebeheer rolgroepen hebben standaard de benodigde machtigingen.

Bovendien worden leden van de Office 365 Globale Administrators groep standaard toegevoegd aan de Organisatiebeheer rolgroep in Exchange Online.

Volg de onderstaande stappen om te controleren of een account de benodigde machtiging heeft om de audittlogs in te schakelen en te zoeken. Als u een Globale Beheerder bent voor uw Office 365 tenant, negeer de onderstaande stappen en ga door naar de volgende sectie.

1. Open het Exchange Online beheercentrum via admin.exchange.microsoft.com. Ga vervolgens naar Rollen en klik op “Beheerdersrollen”.
2. Voer in het zoekvak van de “Beheerdersrollen” pagina “management” in om alleen rollen te retourneren die deze term bevatten. Klik vervolgens op de Compliance Management rol.


3. Op het pop-upvenster van de Compliance Management rol, klik op het tabblad “Toegewezen”. Alle gebruikers die in dit tabblad worden vermeld, hebben toestemming om zoekaudittrails te bekijken.

Om een gebruiker aan deze rol toe te voegen, klik op de knop “+” toevoegen – zie de tweede schermafbeelding.



4. Herhaal stap 3 voor de Organisatiebeheer rol.


Lees ook Top 15 Office 365 PowerShell Commands (Users, Groups, Licensing)

Controleer de huidige status van auditlogging voor uw organisatie.

Voordat u het Microsoft compliance-portal gebruikt om te volgen Office 365 activiteitenlogboeken voor verbeterde beveiliging van de diensten van uw organisatie, moet u controle volgen inschakelen. Standaard ingeschakeld in organisaties met Microsoft 365 en Office 365 enterprise-abonnementen

Echter, Microsoft kan controle niet standaard inschakelen in sommige Microsoft 365-abonnementen. Dus, het is een goed idee om te controleren of controle is ingeschakeld in uw O365-tenant voordat u verdergaat. 

Volg de onderstaande stappen om de huidige controlestatus te controleren.

1. Gebruik de stappen in ons Verbinding maken met Exchange Online met behulp van PowerShell-artikel om verbinding te maken met uw Exchange Online-tenant. 
2. Zodra u verbinding hebt gemaakt met Exchange Online, 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Het onderstaande scherm toont alle opdrachten die u nodig hebt om het Exchange Online PowerShell-module te installeren. Verbind vervolgens en voer de Get-AdminAuditLogConfig uit om te bepalen of controle is ingeschakeld voor uw organisatie.

Als de Get-AdminAuditLogConfig opdracht de UnifiedAuditLogIngestionEnabled eigenschap teruggeeft als True, dat betekent dat geïntegreerde controle aan staat voor uw organisatie. Als het een waarde van False teruggeeft, betekent dit dat controle niet is ingeschakeld. 

Dus, uit het resultaat van mijn Get-AdminAuditLogConfig opdracht, is controle NIET ingeschakeld, aangezien de waarde False is. Als dit uw situatie is, ga dan verder met de volgende sectie om controle in te schakelen.  

Lees ook Hoe te controleren of MFA is ingeschakeld in Office 365 voor gebruikers

Schakel Office 365 Unified Audit Logs in

Microsoft biedt 2 methoden om Office 365 controlelogboeken in te schakelen om gebruikers activiteitenlogboeken te monitoren voor verbeterde organisatie beveiliging. Met name dit door het Compliance Portal of PowerShell te gebruiken. 

Audit inschakelen via het Compliance Portal

1. Open- compliance.microsoft.com
2. Navigeer naar de Oplossingen sectie en klik op Audit. Of open de Audit sectie rechtstreeks door te klikken op compliance.microsoft.com/auditlogsearch.

3. Tot slot, schakel het Microsoft 365 geconsolideerde controlelogboek in, klik op “Start het opnemen van gebruikers- en beheerdersactiviteit.”

Let op dat het tot 60 minuten kan duren voordat de wijziging van kracht wordt.

Lees ook Office 365 Contactrapporten implementeren

Audit inschakelen met Windows PowerShell

Als je nog steeds de PowerShell console hebt waarop je verbonden bent met de Exchange Online PowerShell-module, voer dan de onderstaande opdrachten uit om een geïntegreerde M365-audittrail in te schakelen. Je moet de eerste opdracht uitvoeren voordat je de tweede uitvoert.

Je krijgt mogelijk een foutmelding als je de Set-AdminAuditLogConfig-opdracht uitvoert zonder eerst de Enable-OrganizationCustomization-opdracht uit te voeren. 

Enable-OrganizationCustomization
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Houd er rekening mee dat de Enable-OrganizationCustomization-opdracht even duurt om af te ronden. Ook kan het na het inschakelen van geïntegreerde auditlogboeken tot 60 minuten duren voordat dit van kracht wordt.


Voer vervolgens de Get-AdminAuditLogConfig-opdracht opnieuw uit om te bevestigen dat de auditloginstatus is ingeschakeld. 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Als je auditering succesvol hebt ingeschakeld via de Compliance Portal of Windows PowerShell, zou de laatste opdracht UnifiedAuditLogIngestionEnabled moeten teruggeven als True. Zie onderstaande schermafbeelding.


Ten slotte kun je de geïntegreerde auditlogin voor je Microsoft 365-organisatie uitschakelen door de onderstaande opdracht uit te voeren.

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

Lees ook Office 365 vs Exchange Online – Wat is het verschil?

Zoeken en controleren van Office 365 Audit Activity Logs voor verbeterde beveiliging

Laten we onderzoeken hoe we dit kunnen doen voor relevantegebruikers en beheerdersactiviteiten.

In deze sectie laten we zien hoe je een controlelogboekzoekactie kunt uitvoeren en het resultaat kunt exporterennaar CSV. Daarnaast leggen we uit hoe je de geëxporteerde Office 365Activity Logs kunt analyseren voor verbeterde beveiliging.

Lees ook Bekijk Office 365 Gebruikersrapporten

Stap 1 (Optie 1 van 2):

Voer een Office 365 Audit Log Search uit in het Compliance Portal

1. Open de Microsoft Compliance Audit-paginacompliance.microsoft.com/auditlogsearch. Vervolgens stel je de zoekcriteria in volgens de nummering in de onderstaande schermafbeelding:

(1) Datum en tijd bereik (UTC): Het controlezoekhulpprogramma selecteert standaard de laatste 7 dagen. 

Selecteer echter uw gegevensbereik tot maximaal 90 dagen vanaf de startdatum. Let op dat het selecteren van meer dan 90 dagen een foutmelding oplevert. 

(2) Zoekwoordzoekopdracht: als u de Office 365 geïntegreerde controletool wilt gebruiken om logboeken te vinden over een woord of zin, voert u het in dit veld in. 

(3) Activiteiten: een keuzemenu met een lange lijst met selectievakjes.

(4) Record Type: zoek naar specifieke recordtypen zoals Azure Active Directory.

(5) Workload: Om de zoekcriteria te filteren op werkbelasting, klik op de drop-down en schakel de Office 365-service in waarvan u de controlelogboeken wilt bekijken.

(6) Gebruikers: om de controlelogboeken te filteren op specifieke gebruikers, gebruik de zoekcriteria om hun namen in te voeren. Als u het gebruikersveld leeg laat, retourneert het Compliance Portal-zoekhulpprogramma controlelogboeken voor alle gebruikers in uw Microsoft 365 services.

(7) Bestanden, mappen of sites: zoek naar activiteit met betrekking tot een bestand of map die een specifiek trefwoord bevat door een deel of de volledige naam in te typen. Hiermee kunt u ook een URL van een bestand of map opgeven.

(8) Zoeknaam: geef de zoekopdracht een naam, klik vervolgens op Zoeken. Tot slot, om de status van de rapporten te bekijken, klik Vernieuwen.

Lees ook Leden van Active Directory-groep ophalen en exporteren naar CSV met behulp van PowerShell

Stap 1 (Optie 2 van 2):

Voer een Office 365 Audit Log Search uit met behulp van PowerShell

Gebruik PowerShell om uit te voeren Office 365 audits log zoeken. Je hoeft PowerShell niet te gebruiken als je de Compliance Portal

1 al hebt gebruikt. Verbind met Exchange Online met behulp van PowerShell – door de volgende opdrachten in volgorde uit te voeren:

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName username@DomainNAme.com #change "[email protected]" to your M365 UPN

2. Zodra verbonden met Exchange Online, voer de Search-UnifiedAuditLog uit om de Microsoft 365 geconsolideerde controlelogboek te doorzoeken. 

De StartDate en EndDate parameters zijn de enige vereiste parameters voor deze cmdlet. De cmdlet heeft echter ook andere parameters. 

De onderstaande opdrachten zoeken naar alle controlelogboeken van de afgelopen 30 dagen. 

$EndDate = Get-date
$StartDate = (Get-date).AddDays(-30)
Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

De opdracht retourneert controlelogboekgegevens voor het datum bereik dat u opgeeft met de StartDate en EndDate parameters. Let op dat de startdatum eerder moet zijn dan de einddatum.

Lees ook Controleer Azure AD-controlelogboeken voor gebruikersaanmeldingen (geslaagd mislukt)

Stap 2: Bekijk en exporteer de Office 365-controleactiviteitenlogboeken

Exporteer het rapport naar CSV vanuit het Compliance Portal of via PowerShell.

Klik op een rapport om het te exporteren vanuit het Compliance Portal. Klik vervolgens op de knop Exporteren. 

De Nieuwe zoekopdracht controlerapport leverde geen resultaten op toen we dit artikel in mei 2023 schreven. Ik vermoed dat er een fout mee was. 

Dus gebruikten we in plaats daarvan de Klassieke zoekopdracht. Tot slot om de controlelogboeken te downloaden, klik op “Exporteren”, selecteer vervolgens “Download alle resultaten”

Optioneel, als u de uitkomst van uw Microsoft 365 geconsolideerde auditlogboek liever via PowerShell wilt exporteren, gebruik dan het script hieronder. 

Het script bevat enkele van de opdrachten in de “Stap 1 (Optie 2 van 2): Voer een Office 365 Audit Log Search uit met behulp van PowerShell“.

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName "[email protected]" #change "[email protected]" to your M365 UPN
$StartDate = (Get-date).AddDays(-30)
$EndDate = Get-date
# Run the Search-UnifiedAuditLog cmdlet and store the results in a variable
$auditLogResults = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

# Convert the AuditData property of each NoteProperty object into a PowerShell object and select the desired properties
$table = $auditLogResults.AuditData | ForEach-Object {
    $auditData = ConvertFrom-Json $_
    [PSCustomObject] @{
        CreationTime = $auditData.CreationTime
        RecordType = $auditData.RecordType
        "Op Performed By" = $auditData.UserDisplayName
        "Op UserType" = $auditData.UserType
        "Op UserKey" = $auditData.UserKey
        "Op ClientIP" = $auditData.ClientIP
        Operation = $auditData.Operation
        ResultStatus = $auditData.ResultStatus
        ModifiedProperties = ($auditData.ModifiedProperties | Out-String).Trim()
    }
}

# Display the resulting table
$table | Format-Table
# Export the resulting table to a CSV file
$table | Export-Csv -Path "D:\report\auditLogResults.csv" -NoTypeInformation

# Voer de zoekopdrachtUnifiedAuditLog uit en sla de resultaten op in een variabele

# Converteer de AuditData-eigenschap van elk NoteProperty-object naar een PowerShell-object en selecteer de gewenste eigenschappen

# Toon de resulterende tabel

# Exporteer de resulterende tabel naar een CSV bestand

Het script toont resultaten in de PowerShell-console en exporteert deze naar een CSV-bestand. 

Lees ook Hoe Azure AD te beveiligen tegen cyberdreigingen

Stap 3: Analyseer de 365-activiteitenlogboeken en gebruik ze voor verbeterde beveiliging

Sommige organisaties controleren Office 365-activiteitenlogboeken voor verbeterde beveiliging, terwijl anderen dit doen om aan compliance te voldoen.
Nadat M365-audittrail worden geëxporteerd, is de volgende stap om deze te analyseren.

We hebben een voorbeeldafbeelding opgenomen die we hebben geëxporteerd met behulp van bovenstaand PowerShell-script.

  • Wanneer u het rapport gebruikt om de beveiliging te verbeteren, zoek naar patronen en mogelijke acties die kunnen leiden tot beveiligingsinbreuken. Omgekeerd, als u de controlelogboeken nodig heeft voor nalevingsdoeleinden, zoek naar gevallen van nalevingsinbreuken.
  • Lees ook Het gebruik van voorwaardelijke toegangsbeleid om de beveiliging van Office 365 te verbeteren
  • Hoe u Office 365-activiteitenlogboeken kunt controleren voor verbeterde beveiliging Conclusie
  • Concluderend, door Office 365 activiteitenlogboeken te controleren, versterkt u de beveiliging van uw organisatie. In deze gids hebben we het volgende behandeld:
  • Een overzicht van de Office 365 Unified Audit Logging, inclusief de Microsoft 365-services die het ondersteunt.

Microsoft 365 Audit Log-licenties en -machtigingen, die noodzakelijk zijn voor het controleren van Office 365-activiteitenlogboeken.

Source:
https://infrasos.com/how-to-monitor-office-365-activity-logs-for-improved-security/