Как мониторить журналы активности Office 365 для повышения безопасности

Учебники

Как отслеживать журналы активности Office 365 для повышения безопасности. Хотите улучшить безопасность вашего Office 365? Крайне важно отслеживать журналы активности Office 365, и единый портал журналирования аудита Office 365 от Microsoft предоставляет единую платформу для этого.

В этой статье мы рассмотрим обзор единого аудита журналирования Office 365.

Затем мы узнаем требования к лицензированию и разрешениям для использования единого журнала аудита Microsoft 365. Более того, эта секция включает шаги для проверки, соответствуете ли вы этим требованиям, и что делать, если нет. Далее мы рассмотрим, как проверить, включен ли единый журнал аудита для вашей организации. Затем мы обсудим шаги для его включения через портал соответствия Microsoft или Windows PowerShell.

Далее мы рассмотрим, как проверить, включена ли унифицированная журналирование аудита для вашей организации. Затем мы обсудим шаги по его включению через портал Microsoft соответствия или Windows PowerShell.

После включения журналирования аудита мы расскажем, как искать, просматривать и экспортировать Office 365 журналы аудита в CSV. Наконец, мы покажем, как мониторить и анализировать 365 журналы активности, чтобы улучшить безопасность вашей организации.

Также читайте Как настроить журналы активности Azure AD для эффективного мониторинга

Обзор унифицированного журналирования аудита Office 365

Microsoft 365 (M365) представляет собой набор облачных сервисов. Некоторые из включенных в M365 сервисов – это Azure Active Directory, Exchange Online и SharePoint Online.

Сервисы, включенные в вашу подписку M365, зависят от вашей подписки.

Теперь, когда существует так много Office 365 сервисов, администраторам приходится столкнуться с значительными вызовами при мониторинге журналов активности различных сервисов для улучшения безопасности организации. Хорошая новость заключается в том, что портал соответствия Microsoft Purview предлагает администраторам Microsoft 365 единый пункт назначения для включения унифицированного аудита. 

Теперь вам может быть интересно, какие из сервисов Microsoft 365 поддерживают унифицированный аудит. Чтобы просмотреть все сервисы, которые вы отслеживаете, см. список на странице сервисов Microsoft 365, поддерживающих аудит

Также читайте Как подключиться к Office 365 с помощью Powershell

Лицензирование и разрешения журнала аудита Microsoft 365

Microsoft предлагает две версии Microsoft Purview Audit, которые позволяют включать, искать и отслеживать журналы аудита Microsoft 365.

Таким образом, вы получаете Microsoft Purview Audit (Standard) или (Premium), в зависимости от подписки и лицензирования Microsoft 365 вашей организации.

Кроме того, администраторам, которым необходимо выполнять аудит отчеты, должны быть предоставлены необходимые разрешения.

Чтобы настроить лицензирование и требования к разрешениям пользователей, выполните следующие шаги.

Шаг 1: Убедитесь, что ваша организация соответствует требованиям подписки / лицензирования пользователей

Для доступа к единым аудиторским журналам Microsoft 365, ваша организация должна иметь по крайней мере подписку Microsoft Business Basic/Standard. Это то же самое, что и лицензия Azure AD Premium P1. 

Напротив, для доступа к функции Аудит (Премиум) вам потребуется по крайней мере подписка Microsoft 365 Enterprise E5

Следуйте инструкциям ниже, чтобы проверить назначенную вам подписку. 

1. Следуйте инструкциям в нашей статье – Как подключиться к Office 365 с помощью Powershell – чтобы установить модуль MSOnline PowerShell. Затем подключитесь к Office 365. 
2. Выполните команду Get-MsolAccountSku, чтобы перечислить доступные в вашем клиенте лицензии Microsoft 365. 

Get-MsolAccountSku

2. Затем выполните следующую команду, чтобы вернуть лицензию, которую ваш администратор назначил вам. 

Get-MsolUser | Where-Object { ($_.Licenses[0].AccountSkuId -eq "License_AccountSkuId") -and ($_.UserPrincipalName -eq "[email protected]" ) } | Select-Object UserPrincipalName, DisplayName -ExpandProperty Licenses

Замените License_AccountSkuId на AccountSkuId (название лицензии) из последней команды. Также замените [email protected] на ваш UPN Office 365.

Проверьте значение последней команды, отображаемой в свойстве AccountSkuId. Затем сравните это со значением требованиями лицензирования Microsoft 365

Наконец, если лицензия, назначенная вам администратором, перечислена, проверьте требования к разрешениям Microsoft 365 с помощью шагов в следующем подразделе. 

Также читайте  Get-AzureADAuditSignInLogs – найти логи входа за последние 30 дней PowerShell

Шаг 2: Убедитесь, что ваша учетная запись соответствует требованиям к разрешениям

Чтобы просматривать и запускать поиски в единомаудитжурнале Office 365, администраторы или пользователи должны быть назначены ролью Только просмотр аудита Журналов или Журналов аудита в Exchange Online. Роли Соответствие Управление и Управление организацией по умолчанию имеют необходимые разрешения.

Более того, члены группы Office 365 Глобальные администраторы по умолчанию добавляются в группу ролей Управление организацией в Exchange Online.

Следуйте инструкциям ниже, чтобы проверить, если у учетной записи есть необходимые разрешения для включения и поиска журналов аудита. Если вы являетесь Глобальным администратором для вашего Office 365 арендатора, пропустите шаги ниже и перейдите к следующему разделу.

1. Откройте центр администрирования Exchange Online по адресу admin.exchange.microsoft.com. Затем разверните Роли и нажмите “Административные роли”.
2. В поле поиска на странице “Административные роли” введите “управление” для возврата только ролей, которые включают этот термин. Затем нажмите на роль Соответствие Управление.

3. На всплывающей странице роли Соответствие Управление нажмите вкладку “Назначено”. Все пользователи, перечисленные на этой вкладке, имеют разрешение просматривать журналы аудита поиска.

Чтобы добавить пользователя в эту роль, нажмите кнопку “Добавить” – см. второй скриншот.

4. Повторите шаг 3 для роли Управление организацией.

Также читайте Топ-15 команд PowerShell Office 365 (пользователи, группы, лицензирование)

Проверьте текущий статус ведения журнала аудита для вашей организации.

Прежде чем использовать портал соответствия Microsoft для мониторинга Office 365 журналов активности с целью улучшения безопасности услуг вашей организации, необходимо включить аудит мониторинга. Включается по умолчанию в организациях с подписками Microsoft 365 и Office 365 для предприятий.

Однако Microsoft может не включать аудит по умолчанию в некоторых подписках Microsoft 365. Поэтому перед тем, как продолжить, стоит убедиться, что аудит включен в вашем клиенте O365.

Следуйте приведенным ниже инструкциям, чтобы проверить текущий статус аудита.

1. Используйте шаги из нашей статьи Подключение к Exchange Online с помощью PowerShell, чтобы подключиться к вашему клиенту Exchange Online.
2. После подключения к Exchange Online, 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

ниже представлено скриншот, на котором показаны все команды, необходимые для установки модуля Exchange Online PowerShell. Затем подключитесь и запустите Get-AdminAuditLogConfig, чтобы определить, включено ли аудирование для вашей организации.


Если команда Get-AdminAuditLogConfig возвращает свойство UnifiedAuditLogIngestionEnabled как True, это указывает на то, что унифицированное аудирование включено для вашей организации. Если она возвращает значение False, это означает, что аудирование не включено.

Таким образом, из результата моей команды Get-AdminAuditLogConfig аудирование не включено, так как значение False. Если у вас такая же ситуация, перейдите к следующему разделу, чтобы включить аудирование.

Также читайте Как проверить, включено ли MFA в Office 365 для пользователей

Включение унифицированных аудиторных журналов Office 365

Microsoft предоставляет 2 метода для включения аудита журналов Office 365 для мониторинга журналов активности пользователей с целью улучшения безопасности организации. В частности, это можно сделать через Портал соответствия или PowerShell

Включение аудита с использованием Портала соответствия

1. Откройте – compliance.microsoft.com
2. Перейдите в раздел Решения и нажмите Аудит. В качестве альтернативы, откройте раздел Аудит напрямую, нажав compliance.microsoft.com/auditlogsearch.

3. Наконец, включите единый аудит-журнал Microsoft 365, нажмите “Начать запись активности пользователей и администраторов”.

Обратите внимание, что может потребоваться до 60 минут для того, чтобы изменения вступили в силу.

Также читайте Развертывание отчетов о контактах Office 365

Включение аудита с использованием Windows PowerShell

Если у вас все еще открыта консоль PowerShell, к которой вы подключились через модуль Exchange Online PowerShell, выполните следующую команду для включения единого аудита M365. Вы должны выполнить первую команду перед второй.

Вы можете получить сообщение об ошибке, если выполните команду Set-AdminAuditLogConfig без предварительного выполнения команды Enable-OrganizationCustomization.

Enable-OrganizationCustomization
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Обратите внимание, что команда Enable-OrganizationCustomization может занять некоторое время для завершения. Также, после включения единого аудита, может потребоваться до 60 минут, чтобы изменения вступили в силу.


Затем, повторно выполните команду Get-AdminAuditLogConfig, чтобы подтвердить статус аудита. 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Если вы успешно включили аудит через Портал соответствия или Windows PowerShell, последняя команда должна вернуть UnifiedAuditLogIngestionEnabled как True. См. скриншот ниже.


Наконец, вы можете отключить единый аудит для вашей организации Microsoft 365, выполнив следующую команду.

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

Также читайте Office 365 против Exchange Online — в чем разница?

Поиск и мониторинг журналов аудита Office 365 для улучшения безопасности

Давайте рассмотрим, как искать нужные пользовательские и административные действия.

В этом разделе мы покажем вам, как запустить поиск в журнале аудита и экспортировать результат в CSV. Кроме того, мы объясним, как анализировать экспортированные журналы активности Office 365 для улучшения безопасности.

Также читайте Проверьте отчеты о пользователях Office 365

Шаг 1 (Вариант 1 из 2):

Запустите поиск журнала аудита Office 365 на портале соответствия

1. Откройте страницу Microsoft Compliance Audit compliance.microsoft.com/auditlogsearch. Затем установите критерии поиска, следуя нумерации на скриншоте ниже:

(1) Диапазон дат и времени (UTC): Поисковый инструмент аудита по умолчанию выбирает последние 7 дней.

Однако вы можете выбрать диапазон данных до 90 дней от даты начала. Обратите внимание, что выбор более 90 дней приведет к отображению сообщения об ошибке.

(2) Поиск по ключевым словам: если вам нужно, чтобы универсальный инструмент аудита Office 365 нашел журналы о слове или фразе, введите его в этом поле.

(3) Действия: выпадающий список с длинным списком флажков.

(4) Тип записи: ищите определенные типы записей, такие как Azure Active Directory.

(5) Рабочая нагрузка: Чтобы отфильтровать критерии поиска по рабочей нагрузке, нажмите на выпадающий список и отметьте службу Office 365, из которой вы хотите просматривать журналы аудита.

(6) Пользователи: для фильтрации журналов аудита для конкретных пользователей используйте критерий поиска для ввода их имен. Если поле пользователя оставить пустым, инструмент поиска Портала соответствия возвращает журналы аудита для всех пользователей в ваших службах Microsoft 365.

(7) Файлы, папки или сайты: ищите активность, связанную с файлом или папкой, содержащим конкретное ключевое слово, набрав часть или всё его имя. Также позволяет указать URL-адрес файла или папки.

(8) Название поиска: присвойте поиску имя, затем нажмите Поиск. Наконец, чтобы просмотреть статус отчетов, нажмите Обновить.

Также читайте Получение участников группы Active Directory и экспорт в CSV с помощью PowerShell

Шаг 1 (Вариант 2 из 2):

Запустите поиск журнала аудита Office 365 с помощью PowerShell

Используйте PowerShell для выполнения поисков в журналах аудита Office 365 audit. Нет необходимости использовать PowerShell, если вы уже использовали Портал соответствия

1. Подключитесь к Exchange Online с помощью PowerShell, выполнив следующие команды в указанном порядке: 

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName username@DomainNAme.com #change "[email protected]" to your M365 UPN

2. После подключения к Exchange Online запустите Search-UnifiedAuditLog, чтобы выполнить поиск в унифицированном журнале аудита Microsoft 365.

Параметры StartDate и EndDate являются единственными обязательными параметрами для этой командлет. Однако у командлета есть и другие параметры.

Ниже приведены команды, которые ищут все журналы аудита за последние 30 дней. 

$EndDate = Get-date
$StartDate = (Get-date).AddDays(-30)
Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

Команда возвращает данные журнала аудита для диапазона дат, который вы указываете с помощью параметров StartDate и EndDate. Обратите внимание, что дата начала должна быть раньше даты окончания.

Также читайте Проверьте журналы аудита Azure AD для входов пользователей (успешные и неудачные)

Шаг 2: Просмотр и экспорт журналов аудита активности Office 365

Экспортируйте отчет в CSV из портала Соответствия или через PowerShell.

Нажмите на отчет, чтобы экспортировать его из портала Соответствия. Затем нажмите кнопку Экспорт. 

В отчете Новое Поиск не было результатов, когда мы писали эту статью в мае 2023 года. Я подозреваю, что с ним была ошибка. 

Поэтому мы использовали Классический Поиск вместо этого. Наконец, чтобы скачать журналы аудита, нажмите “Экспорт”, затем выберите “Скачать все результаты”

В качестве альтернативы, если вы предпочитаете экспортировать результаты вашего единого журнала аудита Microsoft 365 с помощью PowerShell, используйте скрипт ниже. 

Скрипт включает некоторые из команд в “Шаг 1 (Вариант 2 из 2): Запустите поиск журнала аудита Office 365 с помощью PowerShell“.

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName "[email protected]" #change "[email protected]" to your M365 UPN
$StartDate = (Get-date).AddDays(-30)
$EndDate = Get-date
# Run the Search-UnifiedAuditLog cmdlet and store the results in a variable
$auditLogResults = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

# Convert the AuditData property of each NoteProperty object into a PowerShell object and select the desired properties
$table = $auditLogResults.AuditData | ForEach-Object {
    $auditData = ConvertFrom-Json $_
    [PSCustomObject] @{
        CreationTime = $auditData.CreationTime
        RecordType = $auditData.RecordType
        "Op Performed By" = $auditData.UserDisplayName
        "Op UserType" = $auditData.UserType
        "Op UserKey" = $auditData.UserKey
        "Op ClientIP" = $auditData.ClientIP
        Operation = $auditData.Operation
        ResultStatus = $auditData.ResultStatus
        ModifiedProperties = ($auditData.ModifiedProperties | Out-String).Trim()
    }
}

# Display the resulting table
$table | Format-Table
# Export the resulting table to a CSV file
$table | Export-Csv -Path "D:\report\auditLogResults.csv" -NoTypeInformation

# Выполните команду SearchUnifiedAuditLog и сохраните результаты в переменную

# Преобразуйте свойство AuditData каждого объекта NoteProperty в объект PowerShell и выберите нужные свойства

# Отобразите полученную таблицу

# Экспортируйте полученную таблицу в файл CSV

Скрипт отображает результаты на консоли PowerShell и экспортирует их в файл CSV.


Также читайте Как обеспечить безопасность Azure AD от киберугроз

Шаг 3: Анализ журналов активности 365 и использование их для повышения безопасности

Некоторые организации отслеживают журналы активности Office 365 для улучшения безопасности, в то время как другие делают это для целей соблюдения правил.
После экспорта журналов аудита M365 следующим шагом является их анализ.

Мы приложили пример отчета, который мы экспортировали с помощью вышеуказанного сценария PowerShell.

  • При использовании отчета для улучшения безопасности обратите внимание на шаблоны и потенциальные действия, которые могут привести к нарушениям безопасности (проникновениям). Напротив, если вам требуются журналы аудита для соблюдения нормативных требований, ищите случаи нарушения соответствия.
  • Также читайте Использование политик условного доступа для повышения безопасности Office 365
  • Как мониторить журналы активности Office 365 для повышения безопасности: заключение
  • В заключение, мониторинг журналов активности Office 365 повышает безопасность вашей организации. В этом руководстве мы рассмотрели следующее:
  • Обзор единого журнала аудита Office 365, включая поддерживаемые им службы Microsoft 365.

Лицензирование и разрешения журнала аудита Microsoft 365, необходимые для мониторинга журналов активности Office 365.

Source:
https://infrasos.com/how-to-monitor-office-365-activity-logs-for-improved-security/