如何监控 Office 365 活动日志以改善安全性

教學

如何監控 Office 365 活動日誌以提高安全性。想要增強您的安全性嗎?監控 Office 365 的活動日誌至關重要,而Microsoft 統一的 Office 365 審計日誌門戶提供了一個單一平台來做到這一點。

在本文中,我們將探討 Office 365統一審計日誌的概覽。

然後,我們學習使用 Microsoft 365 統一審計日誌所需的許可權和許可要求。此外,本節還包括檢查您是否符合這些要求以及如果不符合應該怎麼做的步驟。接下來,我們檢查您的組織是否啟用了統一審計日誌。然後,我們討論通過 Microsoft合規性門戶或Windows PowerShell啟用它的步驟。

接下來,我們將探討如何檢查您的組織是否已啟用統一稽核記錄。然後,我們將討論通過Microsoft合規性門戶或WindowsPowerShell啟用它的步驟。

一旦啟用了稽核記錄,我們將介紹如何搜索、查看和導出Office365稽核記錄到CSV。最後,我們將展示如何監控和分析365活動日誌以提高您的組織安全性。

另請閱讀如何配置Azure AD活動日誌以進行有效監控

Office 365統一稽核記錄概述

Microsoft 365 (M365) 是一系列基於的服務。M365 中包含的一些服務有Azure Active DirectoryExchange OnlineSharePoint Online。

M365 訂閱中包含的服務取決於您的訂閱。

現在,由於有許多Office 365服務,管理員面臨著相當大的挑戰,即監控各種服務的活動日誌,以提高組織的安全性。好消息是,Microsoft Purview合規門戶為Microsoft 365管理員提供了一個單一位置,以啟用統一審計。

現在,您可能會想知道哪些Microsoft 365服務支持統一審計。要查看您監控的所有服務,請參閱支持審計的Microsoft 365服務頁面上的列表。

另請閱讀如何使用Powershell連接到Office 365

Microsoft 365審計日誌許可和權限

Microsoft 提供兩種版本的 Microsoft Purview Audit,讓您能夠啟用、搜尋和監控 Microsoft 365 統一稽核記錄。

因此,您可以根據組織的 Microsoft 365 訂閱和授權 選擇 Microsoft Purview Audit (標準版)(高級版)

此外,需要執行稽核 記錄報告 的管理員必須被授予所需的權限。

要配置授權和用戶權限要求,請完成以下步驟。

步驟 1:確認您的組織符合訂閱 / 用戶授權要求。

若要存取Microsoft 365統一稽核記錄,您的組織必須至少擁有Microsoft 商業基本版/標準版訂閱。這與Azure AD Premium P1授權相同。

相反地,若要存取稽核(Premium)功能,您至少需要Microsoft 365企業版E5訂閱。

請按照以下步驟檢查您被指派的訂閱。

1. 按照我們文章中的步驟操作 – 如何使用PowerShell連接到Office 365 – 來安裝MSOnline PowerShell模組。然後,連接到Office 365。
2. 執行Get-MsolAccountSku命令以列出您租戶中可用的Microsoft 365授權。

Get-MsolAccountSku

2. 接下來,執行以下命令以返回您的管理員指派給您的授權。

Get-MsolUser | Where-Object { ($_.Licenses[0].AccountSkuId -eq "License_AccountSkuId") -and ($_.UserPrincipalName -eq "[email protected]" ) } | Select-Object UserPrincipalName, DisplayName -ExpandProperty Licenses

將License_AccountSkuId替換為上一個命令中的AccountSkuId(授權名稱)。同時,將[email protected]替換為您的Office 365 UPN。

檢查AccountSkuId屬性中顯示的最後一個命令的值。然後,將該值與Microsoft 365授權要求進行比較。

最後,如果您的管理員分配給您的許可證被列出,請使用以下子節中的步驟檢查Microsoft 365權限要求。

另請閱讀Get-AzureADAuditSignInLogs – 查找過去30天內的登錄日誌PowerShell

步驟2:確認您的帳戶滿足權限要求

若要查看和執行Office 365統一審計日誌搜索,管理員或用戶必須被分配僅查看審計日誌審計日誌角色在Exchange Online中。合規性管理組織管理角色組默認具有所需的權限。

此外,Office 365全局管理員組的成員默認被添加到組織管理角色組在Exchange Online中。

按照以下步驟檢查,如果一個帳戶具有所需的權限來啟用和搜索審計日誌。如果您是Office 365租戶的全局管理員,請忽略以下步驟並繼續到下一節。

1. 透過admin.exchange.microsoft.com開啟Exchange Online管理中心的網頁。接著,展開角色並點擊“管理角色”。
2. 在“管理角色”頁面的搜尋框中,輸入“管理”以僅返回包含該詞彙的角色。然後,點擊合規性管理角色。

3. 在合規性管理角色的彈出窗口中,點擊“已分配”標籤。在這個標籤中列出的所有用戶都擁有查看搜索審計日誌的權限。

若要將用戶添加到此角色,請點擊“+ 添加”按鈕 – 請參見第二張截圖。

4. 對組織管理角色重複步驟3。

同時閱讀Office 365 PowerShell命令前15名(用戶、群組、許可證)

檢查您組織的審計記錄的當前狀態

在利用Microsoft合規性入口網站來監控Office 365活動記錄以提升您組織服務的安全性之前,您必須啟用審核監控。在擁有Microsoft 365和Office 365企業訂閱的組織中,這是預設啟用的。

然而,Microsoft可能在某些Microsoft 365訂閱中不會預設啟用審核功能。因此,在進行下一步之前,確認您的O365租戶中審核是否已啟用是一個好主意。

請按照以下步驟檢查當前的審核狀態。

1. 按照我們的透過PowerShell連接至Exchange線上文章中的步驟,連接到您的Exchange Online租戶。
2. 一旦您連接到Exchange Online,

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

下面的螢幕截圖顯示了您需要安裝Exchange Online PowerShell模組的所有命令。然後,連接並運行Get-AdminAuditLogConfig以確定您的組織是否啟用了審計。

如果Get-AdminAuditLogConfig 命令返回UnifiedAuditLogIngestionEnabled屬性為True,則表示您的組織已啟用統一審計。如果返回的值是False,則表示審計未啟用。

因此,根據我的Get-AdminAuditLogConfig 命令的結果,審計未啟用,因為值為False。如果您的情況也是如此,請繼續下一節以啟用審計。

另請閱讀如何在Office 365中檢查用戶是否啟用了MFA

啟用Office 365統一審計日誌

Microsoft 提供兩種方法來啟用 Office 365 審計日誌,以監控 用戶活動日誌,從而提高組織安全性。具體來說,可以通過合規門戶或PowerShell來實現。

使用合規門戶啟用審計

1. 打開 – compliance.microsoft.com
2. 導航到解決方案部分,然後單擊審計。或者,直接打開審計部分,方法是單擊compliance.microsoft.com/auditlogsearch.

3. 最後,啟用 Microsoft 365 統一審計日誌,單擊“開始記錄用戶和管理員活動”。

請注意,更改可能需要長達 60 分鐘才能生效。

另請閱讀 部署 Office 365 聯繫人報告

使用 Windows PowerShell 啟用審計

如果您仍然擁有已連接到Exchange Online PowerShell模組的PowerShell 控制台,請運行以下命令以啟用統一的M365審計。您必須先運行第一個命令,然後再運行第二個命令。

如果您在未先運行Enable-OrganizationCustomization命令的情況下運行Set-AdminAuditLogConfig命令,則可能會收到錯誤消息。

Enable-OrganizationCustomization
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

請注意,Enable-OrganizationCustomization命令需要一段時間才能完成。此外,啟用統一審計日誌記錄後,可能需要長達60分鐘才能生效。

然後,重新運行Get-AdminAuditLogConfig命令以確認審計登錄狀態。

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

如果您通過合規性門戶或WindowsPowerShell成功啟用了審計,則最後一個命令應將UnifiedAuditLogIngestionEnabled返回為True.請參閱下面的屏幕截圖。

最後,您可以通過運行以下命令為您的Microsoft 365組織關閉統一審計登錄。

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

另請閱讀Office 365與Exchange Online — 有何不同?

搜尋和監控Office 365審計活動日誌以提升安全性

讓我們探討如何搜尋相關用戶和管理員活動。

在本節中,我們將向您展示如何運行審計日誌搜索並將結果導出到CSV。此外,我們還將解釋如何分析導出的Office 365活動日誌以提高安全性。

另請閱讀查看Office 365用戶報告

步驟1(選項1之2):

在合規門戶中運行Office 365審計日誌搜索

1. 打開Microsoft合規審計頁面compliance.microsoft.com/auditlogsearch。然後,按照下圖中的編號設置搜索條件:

(1) 日期和時間範圍 (UTC): 審計搜索工具默認選擇過去7天。

不過,您可以選擇從開始日期算起最多90天的數據範圍。請注意,選擇超過90天會返回錯誤消息。

(2) 關鍵字搜索: 如果您需要Office 365統一審計工具查找關於某個單詞或短語的日誌,請在此字段中輸入。

(3) 活動: 一個下拉列表,包含一長串的複選框。

(4) 記錄類型: 搜索特定的記錄類型,例如Azure Active Directory。

(5) 工作負載: 要按工作負載過濾搜索條件,請點擊下拉菜單並選擇您希望查看審計日誌的Office 365服務。

(6) 使用者:若要篩選特定使用者的稽核記錄,請使用搜尋條件輸入他們的名稱。如果將使用者欄位留空,合規性入口網站搜尋工具將返回您所有 Microsoft 365 服務中所有使用者的稽核記錄。

(7) 檔案、資料夾或網站:透過輸入其名稱的部分或全部來搜尋與包含特定關鍵字的檔案或資料夾相關的活動。還允許指定檔案或資料夾的 URL。

(8) 搜尋名稱:給搜尋一個名稱,然後點擊搜尋。最後,若要查看報告的狀態,請點擊重新整理

另請閱讀 使用 PowerShell 取得 Active Directory 群組的成員並導出到 CSV

步驟 1(選項 2 之 2):

使用 PowerShell 執行 Office 365 稽核記錄搜尋

使用PowerShell來執行Office 365的審計日誌搜索。如果您已經使用過合規門戶

,則無需使用PowerShell。1. 連接到Exchange Online使用PowerShell – 按照以下命令順序運行:

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName username@DomainNAme.com #change "[email protected]" to your M365 UPN

2. 一旦連接到Exchange Online,運行Search-UnifiedAuditLog來搜索Microsoft 365的統一審計日誌。

StartDateEndDate參數是此cmdlet唯一必需的參數。但是,此cmdlet還有其他參數。

以下命令搜索過去30天內的所有審計日誌。

$EndDate = Get-date
$StartDate = (Get-date).AddDays(-30)
Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

該命令將返回使用StartDate和EndDate參數指定的日期範圍內的審計日誌數據。請注意,開始日期必須早於結束日期。

另請閱讀檢查Azure AD審計日誌以查看用戶登錄(成功失敗)

第2步:查看並導出Office 365審計活動日誌

將報告導出到 CSV,可以通過合規性門戶或PowerShell進行導出。

點擊報告以從合規性門戶導出它,然後點擊“導出”按鈕。

當我們在2023年5月撰寫本文時,新搜索審計報告沒有產生任何結果。我懷疑這是因為存在一個錯誤。

因此,我們使用了經典搜索。最後,要下載審計日誌,請點擊“導出”,然後選擇“下載所有結果”

或者,如果您更喜歡使用PowerShell導出您的Microsoft 365統一審計日誌的結果,請使用下面的腳本

該腳本包括“第1步(選項2之2):使用PowerShell運行Office 365審計日誌搜索”中的一些命令。

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName "[email protected]" #change "[email protected]" to your M365 UPN
$StartDate = (Get-date).AddDays(-30)
$EndDate = Get-date
# Run the Search-UnifiedAuditLog cmdlet and store the results in a variable
$auditLogResults = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

# Convert the AuditData property of each NoteProperty object into a PowerShell object and select the desired properties
$table = $auditLogResults.AuditData | ForEach-Object {
    $auditData = ConvertFrom-Json $_
    [PSCustomObject] @{
        CreationTime = $auditData.CreationTime
        RecordType = $auditData.RecordType
        "Op Performed By" = $auditData.UserDisplayName
        "Op UserType" = $auditData.UserType
        "Op UserKey" = $auditData.UserKey
        "Op ClientIP" = $auditData.ClientIP
        Operation = $auditData.Operation
        ResultStatus = $auditData.ResultStatus
        ModifiedProperties = ($auditData.ModifiedProperties | Out-String).Trim()
    }
}

# Display the resulting table
$table | Format-Table
# Export the resulting table to a CSV file
$table | Export-Csv -Path "D:\report\auditLogResults.csv" -NoTypeInformation

運行SearchUnifiedAuditLog cmdlet並將結果存儲到一個變量

# 將每個NoteProperty對象的AuditData屬性轉換為PowerShell對象並選擇所需的屬性

# 顯示結果表格

# 將結果表格導出到一個CSV文件

該腳本在PowerShell控制台顯示結果並將其導出到CSV文件。

另請閱讀如何保護Azure AD免受網絡威脅

第3步:分析365活動日誌並將其用於提高安全性

一些組織監控Office 365活動日誌以提高安全性,而其他人則為了遵循合規要求而這樣做。
導出M365審計日誌後,下一步是對其進行分析。

我們包含了一份使用上述PowerShell腳本導出的樣本報告。

  • 當使用報告來提升安全性時,尋找可能導致安全漏洞的模式和潛在行動。相反地,如果你需要審計日誌來滿足合規性要求,則搜尋違反合規性的情況。
  • 也請閱讀使用條件式存取原則來增強Office 365安全性
  • 如何監控Office 365活動記錄以提高安全性結論
  • 總結來說,通過監控Office 365 活動記錄,你可以增強組織的安全性。在整個指南中,我們涵蓋了以下內容:
  • Office 365統一審計日誌的概述,包括它所支援的Microsoft 365服務。

Microsoft 365審計日誌的授權和權限,這些是監控Office 365活動記錄所必需的。

Source:
https://infrasos.com/how-to-monitor-office-365-activity-logs-for-improved-security/