Auditování a monitorování uživatelských aktivit v Microsoft 365

Auditování a monitorování uživatelských aktivit v Microsoft 365

06.08.2024

Tento technický a vzdělávací článek si klade za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při konfiguraci, používání a monitorování aktivity uživatelů v Microsoft 365. Schopnost auditovat a monitorovat akce uživatelů je kritická pro zabezpečení, dodržování předpisů a detekci a reakci na incidenty, což organizacím umožňuje identifikovat podezřelou aktivitu, vyšetřovat porušení a vést podrobné záznamy o tom, co se děje v jejich prostředí [1].

Úvod

Na moderním pracovišti, kde se k datům přistupuje a sdílejí je napříč různými platformami a zařízeními, je přehled o aktivitách uživatelů důležitější než kdy jindy. Microsoft 365 nabízí robustní sadu funkcí auditování, které zaznamenávají širokou škálu akcí provedených uživateli a správci napříč službami, jako je Exchange Online, SharePoint Online, OneDrive pro firmy, Microsoft Teams a Azure AD. Tyto protokoly auditu jsou neocenitelným zdrojem informací pro forenzní vyšetřování, kontroly souladu a porozumění tomu, jak jsou data v organizaci využívána [2].

Tento návod se bude zabývat povolením jednotného protokolování auditu, vyhledáváním protokolů auditu na portálu pro dodržování předpisů Microsoft Purview, vytvářením vlastních výstrah a osvědčenými postupy pro nepřetržité monitorování. Budou poskytnuty podrobné pokyny, ukázkové příkazy PowerShellu a popisy, aby čtenář mohl implementovat efektivní strategii auditu a monitorování, posilující pozici zabezpečení a zajišťování souladu ve svém prostředí Microsoft 365.

Proč jsou auditování a monitorování klíčové v Microsoft 365?

  • Detekce hrozeb: Identifikuje podezřelé aktivity, jako jsou pokusy o neoprávněný přístup, nesprávné sdílení dat nebo změny důležitých nastavení.
  • Soulad s předpisy: Pomáhá splnit požadavky na audit a shodu různých předpisů (např. GDPR, LGPD, HIPAA, ISO 27001) tím, že poskytuje neměnný záznam akcí.
  • Vyšetřování incidentů: Poskytuje data potřebná k vyšetření narušení bezpečnosti, úniku dat nebo škodlivých aktivit, což umožňuje rychlou a efektivní reakci.
  • Operační viditelnost: Umožňuje správcům porozumět tomu, jak uživatelé interagují se službami Microsoft 365, optimalizovat využití a identifikovat potřeby školení.

Předpoklady

  1. Licencování: Základní auditování je dostupné u většiny licencí Microsoft 365. Pro funkce, jako je dlouhodobé uchovávání a události s vyšší hodnotou (pokročilé auditování), je vyžadována licence Microsoft 365 E5 nebo doplněk pro dodržování předpisů [3].
  2. Administrativní přístup: Účet s oprávněními Globální správce, Správce dodržování předpisů nebo Audit Logs na portálu pro dodržování předpisů Microsoft Purview (https://compliance.microsoft.com).
  3. Audit Logging Enabled: Musí být povoleno jednotné protokolování auditu.

Krok za krokem: Konfigurace a sledování uživatelských aktivit

1. Kontrola a aktivace protokolu auditu

Ve výchozím nastavení je auditování již ve většině organizací povoleno. Kontrola:

  1. Přejděte na Portál pro dodržování předpisů Microsoft Purview: https://compliance.microsoft.com.
  2. Z nabídky vyberte Audit.
  3. Pokud audit není aktivní, zobrazí se banner pro zahájení nahrávání. Klikněte na něj.

2. Prohledávání protokolu auditu

Nástroj pro vyhledávání protokolu auditu je vaším hlavním zdrojem pro vyšetřování.

  1. Na stránce Audit portálu Purview nakonfigurujte vyhledávání:
    • Datum a časový rozsah (UTC): Období šetření.
    • Aktivity: Filtrujte podle konkrétních akcí (např. „Přístupný soubor“, „Přihlášený uživatel“).
    • Uživatelé: Zadejte jednoho nebo více uživatelů.
    • Soubor, složka nebo web: Upřesněte vyhledávání na konkrétní zdroj.
  2. Klikněte na Hledat. Výsledky lze exportovat pro analýzu.

Použití PowerShellu k prohledávání protokolů auditu

Pro automatizaci a komplexní vyhledávání je PowerShell ideální.

  1. Připojte se k prostředí Exchange Online PowerShell. powershell Connect-ExchangeOnline
  2. Použijte rutinu Hledat-UnifiedAuditLog. Příklad vyhledávání činností uživatele při odstraňování souborů za posledních 7 dní: powershell Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -UserIds "[email protected]" -Operations FileDeleted -ResultSize 1000 | Formátovat-tabulka CreationDate, UserIds, Operations, AuditData

3. Vytváření upozornění na auditní činnosti

Získejte proaktivně upozornění, když dojde k kritickým aktivitám.

  1. Na portálu pro dodržování předpisů Microsoft Purview přejděte na Zásady > Zásady výstrah.
  2. Klikněte na New Alert Policy.
  3. Pojmenujte zásadu: Přidělte jí popisný název (např.: „Upozornění – hromadné smazání souboru“).
  4. Aktivity: Vyberte aktivity, které by měly spustit výstrahu (např. Smazaný soubor).
  5. Podmínky: Definujte spouštěče, jako je počet výskytů v daném časovém období pro jednoho uživatele.
  6. Příjemci: Určete, kdo má obdržet e-mailové upozornění.
  7. Zkontrolujte a vytvořte zásady.

Pokročilý audit (Microsoft 365 E5)

Pro organizace s přísnými požadavky na shodu a zabezpečení nabízí Advanced Audit rozšířené možnosti:

  • Dlouhodobé uchovávání: Ve výchozím nastavení uchovávat protokoly auditu po dobu až 1 roku s možností prodloužení na 10 let. Nezbytné pro dlouhodobé forenzní vyšetřování.
  • Události vysoké hodnoty: Přístup k podrobnějším událostem, jako je MailItemsAccessed (když byl e-mail přečten) a SearchQueryInitiated (co uživatelé hledají na SharePointu a Exchange). Tyto události jsou klíčové pro vyšetřování narušení dat a průzkumné činnosti.
  • Větší šířka pásma API: Rychlejší a objemnější přístup k protokolům auditu prostřednictvím rozhraní Office 365 Management Activity API, což usnadňuje integraci se systémy SIEM.

Nejlepší postupy pro audit a monitorování

  • Prohlížejte protokoly pravidelně: Nečekejte na incident. Naplánujte si týdenní nebo měsíční kontroly protokolu k identifikaci anomálií.
  • Zaměření na vysoce rizikové aktivity: Upřednostněte monitorovací aktivity, jako je přístup k poštovní schránce jiných osob, externí sdílení souborů a změny oprávnění správce.
  • Integrace se SIEM: Odesílejte protokoly auditu do řešení SIEM, jako je Microsoft Sentinel, pro korelaci s jinými zdroji dat a pokročilou detekci.
  • Použijte princip nejmenšího privilegia: Omezte počet správců s přístupem k protokolům auditu, abyste zabránili neoprávněné manipulaci.
  • Dokumentujte svou strategii: Uschovejte si dokument, který popisuje, které aktivity jsou monitorovány, proč a jaký je postup odezvy pro každou výstrahu.

Závěr

Auditování a monitorování aktivity uživatelů v Microsoft 365 není jen formalita dodržování předpisů, ale aktivní a základní součást obrany organizace. Využitím nástrojů dostupných na portálu pro dodržování předpisů Microsoft Purview, automatizací vyhledávání pomocí prostředí PowerShell a konfigurací proaktivních výstrah mohou správci získat přehled, který potřebují k účinnému zjišťování, vyšetřování a reakci na hrozby a zároveň chránit cenná firemní data.

Reference

[1] Microsoft. (2023). Přehled auditu Microsoft Purview. [2] Microsoft. (2023). Prohledejte protokol auditu na portálu shody. [3] Microsoft. (2023). Pokročilý audit Microsoft Purview.