Microsoft 365 में उपयोगकर्ता गतिविधियों का ऑडिट और मॉनिटरिंग

Microsoft 365 में उपयोगकर्ता गतिविधियों का ऑडिट और मॉनिटरिंग

06/08/2024

इस तकनीकी और शैक्षिक लेख का उद्देश्य Microsoft 365 में उपयोगकर्ता गतिविधि को कॉन्फ़िगर करने, उपयोग करने और निगरानी करने में सुरक्षा विश्लेषकों, आईटी प्रशासकों और सिस्टम इंजीनियरों का मार्गदर्शन करना है। उपयोगकर्ता कार्यों का ऑडिट और निगरानी करने की क्षमता सुरक्षा, नियामक अनुपालन और घटना का पता लगाने और प्रतिक्रिया के लिए महत्वपूर्ण है, जो संगठनों को संदिग्ध गतिविधि की पहचान करने, उल्लंघनों की जांच करने और उनके वातावरण में क्या होता है इसका विस्तृत रिकॉर्ड रखने में सक्षम बनाता है [1]।

परिचय

आधुनिक कार्यस्थल में, जहां डेटा को कई प्लेटफार्मों और उपकरणों पर एक्सेस और साझा किया जाता है, उपयोगकर्ता गतिविधियों में दृश्यता पहले से कहीं अधिक महत्वपूर्ण है। Microsoft 365 ऑडिटिंग क्षमताओं का एक मजबूत सेट प्रदान करता है जो एक्सचेंज ऑनलाइन, SharePoint ऑनलाइन, बिजनेस के लिए OneDrive, Microsoft Teams और Azure AD जैसी सेवाओं में उपयोगकर्ताओं और प्रशासकों द्वारा की गई कार्रवाइयों की एक विस्तृत श्रृंखला को रिकॉर्ड करता है। ये ऑडिट लॉग फोरेंसिक जांच, अनुपालन जांच और संगठन के भीतर डेटा का उपयोग कैसे किया जा रहा है, यह समझने के लिए जानकारी का एक अमूल्य स्रोत हैं [2]।

यह कैसे करें मार्गदर्शिका एकीकृत ऑडिट लॉगिंग को सक्षम करने, Microsoft Purview अनुपालन पोर्टल में ऑडिट लॉग की खोज करने, कस्टम अलर्ट बनाने और निरंतर निगरानी के लिए सर्वोत्तम प्रथाओं को कवर करेगी। चरण-दर-चरण निर्देश, उदाहरण पावरशेल कमांड और विवरण प्रदान किए जाएंगे ताकि पाठक एक प्रभावी ऑडिटिंग और निगरानी रणनीति लागू कर सकें, सुरक्षा स्थिति को मजबूत कर सकें और अपने Microsoft 365 वातावरण में अनुपालन सुनिश्चित कर सकें।

Microsoft 365 में ऑडिटिंग और मॉनिटरिंग क्यों महत्वपूर्ण हैं?

  • खतरे का पता लगाना: संदिग्ध गतिविधियों की पहचान करता है, जैसे अनधिकृत पहुंच प्रयास, अनुचित डेटा साझाकरण या महत्वपूर्ण सेटिंग्स में परिवर्तन।
  • नियामक अनुपालन: कार्यों का एक अपरिवर्तनीय रिकॉर्ड प्रदान करके विभिन्न नियमों (जैसे जीडीपीआर, एलजीपीडी, एचआईपीएए, आईएसओ 27001) की ऑडिटिंग और अनुपालन आवश्यकताओं को पूरा करने में मदद करता है।
  • घटना जांच: सुरक्षा उल्लंघनों, डेटा लीक या दुर्भावनापूर्ण गतिविधियों की जांच के लिए आवश्यक डेटा प्रदान करता है, जिससे त्वरित और प्रभावी प्रतिक्रिया मिलती है।
  • परिचालन दृश्यता: प्रशासकों को यह समझने में सक्षम बनाता है कि उपयोगकर्ता Microsoft 365 सेवाओं के साथ कैसे इंटरैक्ट कर रहे हैं, उपयोग को अनुकूलित कर रहे हैं और प्रशिक्षण आवश्यकताओं की पहचान कर रहे हैं।

पूर्वावश्यकताएँ

  1. लाइसेंसिंग: अधिकांश Microsoft 365 लाइसेंस पर बुनियादी ऑडिटिंग उपलब्ध है। दीर्घकालिक प्रतिधारण और उच्च-मूल्य वाली घटनाओं (उन्नत ऑडिटिंग) जैसी सुविधाओं के लिए, Microsoft 365 E5 लाइसेंस या अनुपालन ऐड-ऑन [3] की आवश्यकता होती है।
  2. प्रशासनिक पहुंच: Microsoft Purview अनुपालन पोर्टल (https://compliance.microsoft.com) पर वैश्विक प्रशासक, अनुपालन प्रशासक या ऑडिट लॉग्स अनुमतियों की भूमिका वाला एक खाता।
  3. ऑडिट लॉगिंग सक्षम: एकीकृत ऑडिट लॉगिंग सक्षम होनी चाहिए।

चरण दर चरण: उपयोगकर्ता गतिविधियों को कॉन्फ़िगर और मॉनिटर करना

1. ऑडिट लॉग की जाँच करना और सक्रिय करना

डिफ़ॉल्ट रूप से, अधिकांश संगठनों में ऑडिटिंग पहले से ही सक्षम है। जाँच करने के लिए:

  1. Microsoft Purview अनुपालन पोर्टल तक पहुंचें: https://compliance.microsoft.com
  2. मेनू से, ऑडिट चुनें।
  3. यदि ऑडिट सक्रिय नहीं है, तो आपको रिकॉर्डिंग शुरू करने के लिए एक बैनर दिखाई देगा। इस पर क्लिक करें।

2. ऑडिट लॉग खोजना

ऑडिट लॉग सर्च टूल जांच के लिए आपका मुख्य संसाधन है।

  1. परव्यू पोर्टल के ऑडिट पृष्ठ पर, अपनी खोज कॉन्फ़िगर करें:
    • तिथि और समय सीमा (UTC): जांच की अवधि।
    • गतिविधियाँ: विशिष्ट क्रियाओं द्वारा फ़िल्टर करें (उदाहरण के लिए एक्सेस की गई फ़ाइल, उपयोगकर्ता ने लॉग इन किया)।
    • उपयोगकर्ता: एक या अधिक उपयोगकर्ता निर्दिष्ट करें।
    • फ़ाइल, फ़ोल्डर या वेबसाइट: किसी विशिष्ट संसाधन के लिए खोज को परिष्कृत करें।
  2. खोज पर क्लिक करें। विश्लेषण के लिए परिणाम निर्यात किए जा सकते हैं।

ऑडिट लॉग खोजने के लिए पावरशेल का उपयोग करना

स्वचालन और जटिल खोजों के लिए, PowerShell आदर्श है।

  1. एक्सचेंज ऑनलाइन पावरशेल से कनेक्ट करें। पॉवरशेल कनेक्ट-एक्सचेंजऑनलाइन
  2. खोज सीएमडीलेट' का उपयोग करें-यूनिफाइडऑडिटलॉग। पिछले 7 दिनों में किसी उपयोगकर्ता द्वारा फ़ाइल हटाने की गतिविधियों को खोजने का उदाहरण: पॉवरशेल सर्च-यूनिफाइडऑडिटलॉग -स्टार्टडेट (गेट-डेट).ऐडडेज़(-7) -एंडडेट (गेट-डेट) -यूजरआईडी "[email protected]" -ऑपरेशंस फाइलडिलीटेड -रिजल्टसाइज 1000 | प्रारूप-तालिका निर्माण दिनांक, उपयोगकर्ता आईडी, संचालन, ऑडिटडेटा

3. ऑडिट गतिविधियों पर अलर्ट बनाना

महत्वपूर्ण गतिविधियाँ होने पर सक्रिय रूप से सूचित करें।

  1. Microsoft Purview अनुपालन पोर्टल में, नीतियाँ > अलर्ट नीतियाँ पर जाएँ।
  2. नई चेतावनी नीति पर क्लिक करें।
  3. पॉलिसी को नाम दें: इसे एक वर्णनात्मक नाम दें (उदा: अलर्ट - बल्क फ़ाइल डिलीट)।
  4. गतिविधियाँ: उन गतिविधियों का चयन करें जिनसे अलर्ट ट्रिगर होना चाहिए (उदा: हटाई गई फ़ाइल)।
  5. शर्तें: ट्रिगर्स को परिभाषित करें, जैसे किसी एकल उपयोगकर्ता के लिए किसी निश्चित अवधि में घटनाओं की संख्या।
  6. प्राप्तकर्ता: निर्दिष्ट करें कि ईमेल अधिसूचना किसे प्राप्त होनी चाहिए।
  7. नीति की समीक्षा करें और बनाएं

उन्नत ऑडिटिंग (Microsoft 365 E5)

कड़े अनुपालन और सुरक्षा आवश्यकताओं वाले संगठनों के लिए, उन्नत ऑडिट उन्नत क्षमताएं प्रदान करता है:

  • दीर्घकालिक प्रतिधारण: ऑडिट लॉग को डिफ़ॉल्ट रूप से 1 वर्ष तक बनाए रखें, 10 वर्ष तक बढ़ाने के विकल्प के साथ। दीर्घकालिक फोरेंसिक जांच के लिए आवश्यक।
  • उच्च मूल्य वाले इवेंट: अधिक विस्तृत इवेंट तक पहुंच जैसे कि MailItemsAccessed (जब एक ईमेल पढ़ा गया था) और SearchQueryInitiated (उपयोगकर्ता SharePoint और एक्सचेंज में क्या खोज रहे हैं)। ये घटनाएँ डेटा उल्लंघनों और टोही गतिविधियों की जाँच के लिए महत्वपूर्ण हैं।
  • उच्च एपीआई बैंडविड्थ: ऑफिस 365 प्रबंधन गतिविधि एपीआई के माध्यम से ऑडिट लॉग तक तेज़, उच्च-मात्रा पहुंच, एसआईईएम सिस्टम के साथ एकीकरण की सुविधा।

ऑडिटिंग और मॉनिटरिंग के लिए सर्वोत्तम अभ्यास

  • लॉग की नियमित रूप से समीक्षा करें: किसी घटना की प्रतीक्षा न करें। विसंगतियों की पहचान करने के लिए साप्ताहिक या मासिक लॉग समीक्षा शेड्यूल करें।
  • उच्च जोखिम वाली गतिविधियों पर ध्यान दें: गैर-मालिक मेलबॉक्स पहुंच, बाहरी फ़ाइल साझाकरण और व्यवस्थापक अनुमतियों में परिवर्तन जैसी निगरानी गतिविधियों को प्राथमिकता दें।
  • एक सिएम के साथ एकीकृत करें: अन्य डेटा स्रोतों और उन्नत पहचान के साथ सहसंबंध के लिए माइक्रोसॉफ्ट सेंटिनल जैसे एक सिएम समाधान पर ऑडिट लॉग भेजें।
  • कम से कम विशेषाधिकार के सिद्धांत का उपयोग करें: छेड़छाड़ को रोकने के लिए ऑडिट लॉग तक पहुंच वाले प्रशासकों की संख्या सीमित करें।
  • अपनी रणनीति का दस्तावेजीकरण करें: एक दस्तावेज रखें जो बताता है कि किन गतिविधियों की निगरानी की जाती है, क्यों, और प्रत्येक अलर्ट के लिए प्रतिक्रिया प्रक्रिया क्या है।

निष्कर्ष

Microsoft 365 में उपयोगकर्ता गतिविधि का ऑडिट और निगरानी करना केवल एक अनुपालन औपचारिकता नहीं है, बल्कि किसी संगठन की सुरक्षा का एक सक्रिय और आवश्यक घटक है। Microsoft Purview अनुपालन पोर्टल में उपलब्ध टूल का लाभ उठाकर, PowerShell के साथ खोजों को स्वचालित करके, और सक्रिय अलर्ट कॉन्फ़िगर करके, व्यवस्थापक मूल्यवान कंपनी डेटा की सुरक्षा करते हुए खतरों का प्रभावी ढंग से पता लगाने, जांच करने और प्रतिक्रिया देने के लिए आवश्यक दृश्यता प्राप्त कर सकते हैं।

सन्दर्भ

[1] माइक्रोसॉफ्ट। (2023)। Microsoft Purview ऑडिट अवलोकन। [2] माइक्रोसॉफ्ट। (2023)। अनुपालन पोर्टल में ऑडिट लॉग खोजें। [3] माइक्रोसॉफ्ट। (2023)। माइक्रोसॉफ्ट परव्यू एडवांस्ड ऑडिटिंग