Oudit en monitering van gebruikersaktiwiteite in Microsoft 365

Oudit en monitering van gebruikersaktiwiteite in Microsoft 365

06/08/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die opstel, gebruik en monitering van gebruikersaktiwiteit in Microsoft 365. Die vermoë om gebruikershandelinge te oudit en te moniteer is van kritieke belang vir sekuriteit, regulatoriese voldoening, en insidentbespeuring en -reaksie, wat organisasies in staat stel om verdagte aktiwiteit te identifiseer, oortredings van wat gebeur het in hul omgewing te ondersoek, en 'n detail te hou [1].

Inleiding

In die moderne werkplek, waar data verkry word en oor verskeie platforms en toestelle gedeel word, is sigbaarheid in gebruikersaktiwiteite meer krities as ooit tevore. Microsoft 365 bied 'n robuuste stel ouditvermoëns wat 'n wye reeks aksies wat deur gebruikers en administrateurs uitgevoer word, opteken oor dienste soos Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams en Azure AD. Hierdie ouditlogboeke is 'n waardevolle bron van inligting vir forensiese ondersoeke, nakomingskontroles en om te verstaan ​​hoe data binne die organisasie gebruik word [2].

Hierdie hoe-om-gids sal die aktivering van verenigde ouditlogboeke dek, deursoek van ouditlogboeke in die Microsoft Purview-nakomingsportaal, die skep van pasgemaakte waarskuwings en beste praktyke vir deurlopende monitering. Stap-vir-stap instruksies, voorbeeld PowerShell-opdragte en beskrywings sal verskaf word sodat die leser 'n effektiewe oudit- en moniteringstrategie kan implementeer, wat die sekuriteitsposisie versterk en voldoening in hul Microsoft 365-omgewing kan verseker.

Waarom is ouditering en monitering van kardinale belang in Microsoft 365?

  • Bedreigingopsporing: Identifiseer verdagte aktiwiteite, soos ongemagtigde toegangspogings, onbehoorlike datadeling of veranderinge aan kritieke instellings.
  • Regulatoriese nakoming: Help om te voldoen aan oudit- en voldoeningsvereistes van verskeie regulasies (bv. GDPR, LGPD, HIPAA, ISO 27001) deur 'n onveranderlike rekord van aksies te verskaf.
  • Insident Ondersoek: Verskaf die data wat nodig is om sekuriteitsoortredings, datalekkasies of kwaadwillige aktiwiteite te ondersoek, wat 'n vinnige en doeltreffende reaksie moontlik maak.
  • Operasionele sigbaarheid: Stel administrateurs in staat om te verstaan ​​hoe gebruikers met Microsoft 365-dienste omgaan, gebruik optimaliseer en opleidingsbehoeftes identifiseer.

Voorvereistes

  1. Lisensiëring: Basiese ouditering is beskikbaar op die meeste Microsoft 365-lisensies. Vir kenmerke soos langtermynbehoud en hoërwaarde-geleenthede (Gevorderde Ouditering), word 'n Microsoft 365 E5-lisensie of voldoeningsbyvoeging [3] vereis.
  2. Administratiewe toegang: 'n Rekening met die rol van Global Administrator, Compliance Administrator of Oudit Logs-toestemmings op die Microsoft Purview-voldoeningsportaal (https://compliance.microsoft.com).
  3. Ouditlogging geaktiveer: Eenvormige ouditlogging moet geaktiveer word.

Stap vir stap: konfigurasie en monitering van gebruikersaktiwiteite

1. Kontroleer en aktiveer die ouditlogboek

Ouditering is by verstek reeds in die meeste organisasies geaktiveer. Om te kontroleer:

  1. Gaan na die Microsoft Purview-nakomingsportaal: https://compliance.microsoft.com.
  2. Kies Oudit vanaf die kieslys.
  3. As die oudit nie aktief is nie, sal jy 'n banier sien om op te neem. Klik daarop.

2. Soek die ouditlogboek

Die ouditlog-soekinstrument is jou hoofhulpbron vir ondersoeke.

  1. Stel jou soektog op op die Oudit-bladsy van die Purview-portaal:
    • Datum en tydreeks (UTC): Tydperk van die ondersoek.
    • Aktiwiteite: Filter volgens spesifieke handelinge (bv. Toegang tot lêer, Gebruiker aangemeld). Gebruikers: Spesifiseer een of meer gebruikers.
    • Lêer, gids of webwerf: Verfyn die soektog na 'n spesifieke hulpbron.
  2. Klik Soek. Resultate kan uitgevoer word vir ontleding.

Gebruik PowerShell om ouditlogboeke te soek

Vir outomatisering en komplekse soektogte is PowerShell ideaal.

  1. Koppel aan Exchange Online PowerShell. powershell Connect-ExchangeOnline
  2. Gebruik die Search cmdlet-UnifiedAuditLog. Voorbeeld om te soek vir lêeruitveeaktiwiteite deur 'n gebruiker in die afgelope 7 dae: powershell Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EindDate (Get-Date) -UserIds "[email protected]" -Operations FileDeleted -ResultSize 1000 | Formaat-tabel skeppingsdatum, gebruiker-ID's, bewerkings, ouditdata

3. Skep waarskuwings oor ouditaktiwiteite

Kry proaktief in kennis gestel wanneer kritieke aktiwiteite plaasvind.

  1. Gaan na Beleide > Waarskuwingsbeleide in die Microsoft Purview-nakomingsportaal.
  2. Klik New Alert Policy.
  3. Noem die beleid: Gee dit 'n beskrywende naam (byvoorbeeld: Alert - Grootmaatlêer-skrap).
  4. Aktiwiteite: Kies die aktiwiteite wat die waarskuwing moet aktiveer (byvoorbeeld: Geskrap lêer).
  5. Voorwaardes: Definieer snellers, soos die aantal voorvalle in 'n gegewe tydperk vir 'n enkele gebruiker.
  6. Ontvangers: Spesifiseer wie die e-poskennisgewing moet ontvang.
  7. Hersien en skep die beleid.

Gevorderde ouditering (Microsoft 365 E5)

Vir organisasies met streng voldoenings- en sekuriteitsvereistes bied Advanced Audit verbeterde vermoëns:

  • ** Langtermynbehoud**: Behou ouditlogboeke by verstek vir tot 1 jaar, met die opsie om tot 10 jaar te verleng. Noodsaaklik vir langtermyn forensiese ondersoeke.
  • Hoogwaarde-gebeurtenisse: Toegang tot meer gedetailleerde gebeurtenisse soos 'MailItemsAccessed' (wanneer 'n e-pos gelees is) en 'SearchQueryInitiated' (waarna gebruikers in SharePoint en Exchange soek). Hierdie gebeure is van kardinale belang vir die ondersoek van data-oortredings en verkenningsaktiwiteite.
  • Hoër API-bandwydte: Vinniger, groter volume toegang tot ouditlogboeke deur die Office 365 Management Activity API, wat integrasie met SIEM-stelsels vergemaklik.

Beste praktyke vir ouditering en monitering

  • Hersien logs gereeld: Moenie wag vir 'n voorval nie. Skeduleer weeklikse of maandelikse logresensies om afwykings te identifiseer.
  • Fokus op hoërisiko-aktiwiteite: Prioritiseer moniteringsaktiwiteite soos nie-eienaar-posbustoegang, eksterne lêerdeling en administrateurtoestemmingsveranderinge.
  • Integreer met 'n SIEM: Stuur ouditloglêers na 'n SIEM-oplossing soos Microsoft Sentinel vir korrelasie met ander databronne en gevorderde opsporing.
  • Gebruik die beginsel van die minste voorreg: Beperk die aantal administrateurs met toegang tot ouditlogboeke om gepeuter te voorkom.
  • Dokumenteer jou strategie: Hou 'n dokument wat beskryf watter aktiwiteite gemonitor word, hoekom en wat die reaksieprosedure vir elke waarskuwing is.

Gevolgtrekking

Oudit en monitering van gebruikersaktiwiteit in Microsoft 365 is nie net 'n voldoeningsformaliteit nie, maar 'n aktiewe en noodsaaklike komponent van 'n organisasie se verdediging. Deur die nutsgoed wat beskikbaar is in die Microsoft Purview-nakomingsportaal te benut, soektogte met PowerShell te outomatiseer en proaktiewe waarskuwings op te stel, kan administrateurs die sigbaarheid kry wat hulle nodig het om bedreigings effektief op te spoor, te ondersoek en daarop te reageer, terwyl hulle waardevolle maatskappydata beskerm.

Verwysings

[1] Microsoft. (2023). Microsoft Purview-ouditoorsig. [2] Microsoft. (2023). Soek die ouditlogboek in die voldoeningsportaal. [3] Microsoft. (2023). Microsoft Purview Gevorderde Ouditering.