تدقيق ومراقبة أنشطة المستخدم في Microsoft 365

تدقيق ومراقبة أنشطة المستخدم في Microsoft 365

06/08/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تكوين نشاط المستخدم واستخدامه ومراقبته في Microsoft 365. تعد القدرة على تدقيق إجراءات المستخدم ومراقبتها أمرًا بالغ الأهمية للأمان والامتثال التنظيمي واكتشاف الحوادث والاستجابة لها، مما يمكّن المؤسسات من تحديد الأنشطة المشبوهة والتحقيق في الانتهاكات والاحتفاظ بسجل مفصل لما يحدث في بيئتها [1].

مقدمة

في مكان العمل الحديث، حيث يتم الوصول إلى البيانات ومشاركتها عبر منصات وأجهزة متعددة، أصبحت الرؤية لأنشطة المستخدم أكثر أهمية من أي وقت مضى. يقدم Microsoft 365 مجموعة قوية من إمكانات التدقيق التي تسجل نطاقًا واسعًا من الإجراءات التي يتخذها المستخدمون والمسؤولون عبر الخدمات مثل Exchange Online وSharePoint Online وOneDrive for Business وMicrosoft Teams وAzure AD. تعد سجلات التدقيق هذه مصدرًا لا يقدر بثمن للمعلومات لتحقيقات الطب الشرعي، وفحوصات الامتثال، وفهم كيفية استخدام البيانات داخل المؤسسة [2].

سيغطي هذا الدليل الإرشادي تمكين تسجيل التدقيق الموحد، والبحث في سجلات التدقيق في بوابة الامتثال لـ Microsoft Purview، وإنشاء تنبيهات مخصصة، وأفضل الممارسات للمراقبة المستمرة. سيتم توفير إرشادات خطوة بخطوة، وأمثلة لأوامر PowerShell، والأوصاف حتى يتمكن القارئ من تنفيذ إستراتيجية تدقيق ومراقبة فعالة، وتعزيز الوضع الأمني ​​وضمان الامتثال في بيئة Microsoft 365 الخاصة به.

ما سبب أهمية التدقيق والمراقبة في Microsoft 365؟

  • اكتشاف التهديدات: يحدد الأنشطة المشبوهة، مثل محاولات الوصول غير المصرح بها، أو مشاركة البيانات بشكل غير سليم، أو التغييرات في الإعدادات المهمة.
  • الامتثال التنظيمي: يساعد على تلبية متطلبات التدقيق والامتثال لمختلف اللوائح (مثل اللائحة العامة لحماية البيانات (GDPR) وقانون LGPD وقانون نقل التأمين الصحي والمسؤولية (HIPAA) وISO 27001) من خلال توفير سجل ثابت للإجراءات.
  • التحقيق في الحوادث: يوفر البيانات اللازمة للتحقيق في الخروقات الأمنية أو تسرب البيانات أو الأنشطة الضارة، مما يتيح استجابة سريعة وفعالة.
  • الرؤية التشغيلية: تمكن المسؤولين من فهم كيفية تفاعل المستخدمين مع خدمات Microsoft 365، وتحسين الاستخدام وتحديد احتياجات التدريب.

المتطلبات الأساسية

  1. الترخيص: يتوفر التدقيق الأساسي في معظم تراخيص Microsoft 365. بالنسبة لميزات مثل الاحتفاظ على المدى الطويل والأحداث ذات القيمة الأعلى (التدقيق المتقدم)، يلزم الحصول على ترخيص Microsoft 365 E5 أو الوظيفة الإضافية للامتثال [3].
  2. الوصول الإداري: حساب يتمتع بدور أذونات "المسؤول العام" أو "مسؤول الامتثال" أو "سجلات التدقيق" على بوابة الامتثال لـ Microsoft Purview (https://compliance.microsoft.com).
  3. تمكين تسجيل التدقيق: يجب تمكين تسجيل التدقيق الموحد.

خطوة بخطوة: تكوين ومراقبة أنشطة المستخدم

1. فحص وتفعيل سجل التدقيق

افتراضيًا، يتم تمكين التدقيق بالفعل في معظم المؤسسات. للتحقق:

  1. قم بالوصول إلى بوابة الامتثال لـ Microsoft Purview: https://compliance.microsoft.com.
  2. من القائمة، حدد التدقيق.
  3. إذا لم تكن عملية التدقيق نشطة، فسترى لافتة لبدء التسجيل. انقر عليها.

2. البحث في سجل التدقيق

تعد أداة البحث في سجل التدقيق هي المصدر الرئيسي للتحقيقات.

  1. في صفحة التدقيق في بوابة Purview، قم بتكوين بحثك:
    • نطاق التاريخ والوقت (UTC): فترة التحقيق.
    • الأنشطة: التصفية حسب إجراءات محددة (على سبيل المثال، الملف الذي تم الوصول إليه، تم تسجيل دخول المستخدم).
    • المستخدمون: حدد مستخدمًا واحدًا أو أكثر.
    • ملف أو مجلد أو موقع ويب: قم بتحسين البحث إلى مورد محدد.
  2. انقر بحث. يمكن تصدير النتائج للتحليل.

استخدام PowerShell للبحث في سجلات التدقيق

بالنسبة للأتمتة وعمليات البحث المعقدة، يعد PowerShell مثاليًا.

  1. اتصل بـ Exchange Online PowerShell. بوويرشيل ربط ExchangeOnline
  2. استخدم أمر البحث cmdlet-سجل التدقيق الموحد. مثال للبحث عن أنشطة حذف الملفات بواسطة المستخدم في آخر 7 أيام: بوويرشيل البحث-UnifiedAuditLog -تاريخ البدء (Get-Date).AddDays(-7) -تاريخ الانتهاء (Get-Date) -معرفات المستخدم "[email protected]" -ملف العمليات المحذوفة -حجم النتيجة 1000 | تاريخ إنشاء الجدول التنسيقي، معرفات المستخدمين، العمليات، بيانات التدقيق

3. إنشاء تنبيهات بشأن أنشطة التدقيق

احصل على إشعار استباقي عند حدوث أنشطة مهمة.

  1. في بوابة الامتثال لـ Microsoft Purview، انتقل إلى السياسات > سياسات التنبيه.
  2. انقر فوق سياسة التنبيهات الجديدة.
  3. اسم السياسة: أعطها اسمًا وصفيًا (على سبيل المثال: تنبيه - حذف ملف مجمع).
  4. الأنشطة: حدد الأنشطة التي ينبغي أن تؤدي إلى تشغيل التنبيه (على سبيل المثال: ملف محذوف).
  5. الشروط: تحديد المشغلات، مثل عدد مرات التكرار في فترة زمنية معينة لمستخدم واحد.
  6. المستلمون: حدد من يجب أن يتلقى إشعار البريد الإلكتروني.
  7. مراجعة وإنشاء السياسة.

التدقيق المتقدم (Microsoft 365 E5)

بالنسبة للمؤسسات التي لديها متطلبات امتثال وأمان صارمة، يوفر التدقيق المتقدم إمكانات محسنة:

  • الاحتفاظ طويل الأمد: الاحتفاظ بسجلات التدقيق لمدة تصل إلى عام واحد بشكل افتراضي، مع خيار التمديد إلى 10 سنوات. ضروري لتحقيقات الطب الشرعي على المدى الطويل.
  • الأحداث ذات القيمة العالية: الوصول إلى أحداث أكثر تفصيلاً مثل MailItemsAccessed (عند قراءة رسالة بريد إلكتروني) وSearchQueryInitiated (ما يبحث عنه المستخدمون في SharePoint وExchange). تعتبر هذه الأحداث حاسمة للتحقيق في خروقات البيانات وأنشطة الاستطلاع.
  • نطاق ترددي أعلى لواجهة برمجة التطبيقات: وصول أسرع وأعلى حجمًا إلى سجلات التدقيق من خلال واجهة برمجة تطبيقات نشاط إدارة Office 365، مما يسهل التكامل مع أنظمة SIEM.

أفضل الممارسات للتدقيق والمراقبة

  • راجع السجلات بانتظام: لا تنتظر وقوع حادث. جدولة مراجعات السجل الأسبوعية أو الشهرية لتحديد الحالات الشاذة.
  • التركيز على الأنشطة عالية المخاطر: قم بإعطاء الأولوية لأنشطة المراقبة، مثل الوصول إلى صندوق بريد غير المالك ومشاركة الملفات الخارجية وتغييرات أذونات المسؤول.
  • التكامل مع SIEM: أرسل سجلات التدقيق إلى أحد حلول SIEM مثل Microsoft Sentinel للارتباط مع مصادر البيانات الأخرى والكشف المتقدم.
  • استخدم مبدأ الامتياز الأقل: حدد عدد المسؤولين الذين لديهم حق الوصول إلى سجلات التدقيق لمنع التلاعب.
  • توثيق إستراتيجيتك: احتفظ بمستند يصف الأنشطة التي تتم مراقبتها وسبب مراقبتها وما هو إجراء الاستجابة لكل تنبيه.

الخلاصة

إن تدقيق نشاط المستخدم ومراقبته في Microsoft 365 لا يعد مجرد إجراء شكلي للامتثال، ولكنه مكون نشط وأساسي لدفاع المؤسسة. من خلال الاستفادة من الأدوات المتوفرة في بوابة الامتثال لـ Microsoft Purview، وأتمتة عمليات البحث باستخدام PowerShell، وتكوين التنبيهات الاستباقية، يمكن للمسؤولين الحصول على الرؤية التي يحتاجون إليها لاكتشاف التهديدات والتحقيق فيها والاستجابة لها بشكل فعال مع حماية بيانات الشركة القيمة.

المراجع

[1] مايكروسوفت. (2023). نظرة عامة على تدقيق Microsoft Purview. [2] مايكروسوفت. (2023). ابحث في سجل التدقيق في بوابة الامتثال. [3] مايكروسوفت. (2023). Microsoft Purview التدقيق المتقدم.