Controllo e monitoraggio delle attività degli utenti in Microsoft 365

06/08/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nella configurazione, nell'utilizzo e nel monitoraggio dell'attività degli utenti in Microsoft 365. La capacità di controllare e monitorare le azioni degli utenti è fondamentale per la sicurezza, la conformità normativa e il rilevamento e la risposta agli incidenti, consentendo alle organizzazioni di identificare attività sospette, indagare sulle violazioni e tenere un registro dettagliato di ciò che accade nel loro ambiente [1].

Introduzione

Nell'ambiente di lavoro moderno, dove l'accesso e la condivisione dei dati avviene su più piattaforme e dispositivi, la visibilità delle attività degli utenti è più importante che mai. Microsoft 365 offre un solido set di funzionalità di controllo che registrano un'ampia gamma di azioni intraprese da utenti e amministratori in servizi come Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams e Azure AD. Questi registri di controllo rappresentano una preziosa fonte di informazioni per indagini forensi, controlli di conformità e comprensione del modo in cui i dati vengono utilizzati all'interno dell'organizzazione [2].

Questa guida pratica tratterà dell'abilitazione della registrazione di controllo unificata, della ricerca dei registri di controllo nel portale di conformità di Microsoft Purview, della creazione di avvisi personalizzati e delle procedure consigliate per il monitoraggio continuo. Verranno fornite istruzioni dettagliate, esempi di comandi PowerShell e descrizioni in modo che il lettore possa implementare una strategia di controllo e monitoraggio efficace, rafforzando il livello di sicurezza e garantendo la conformità nel proprio ambiente Microsoft 365.

Perché il controllo e il monitoraggio sono cruciali in Microsoft 365?

• Rilevamento minacce: identifica attività sospette, come tentativi di accesso non autorizzati, condivisione impropria dei dati o modifiche alle impostazioni critiche.
• Conformità normativa: aiuta a soddisfare i requisiti di controllo e conformità di varie normative (ad esempio GDPR, LGPD, HIPAA, ISO 27001) fornendo un registro immutabile delle azioni.
• Investigazione sugli incidenti: fornisce i dati necessari per indagare su violazioni della sicurezza, fughe di dati o attività dannose, consentendo una risposta rapida ed efficace.
• Visibilità operativa: consente agli amministratori di comprendere come gli utenti interagiscono con i servizi Microsoft 365, ottimizzando l'utilizzo e identificando le esigenze di formazione.

Prerequisiti

1. Licenze: il controllo di base è disponibile sulla maggior parte delle licenze Microsoft 365. Per funzionalità quali la conservazione a lungo termine e gli eventi di valore più elevato (controllo avanzato), è necessaria una licenza Microsoft 365 E5 o un componente aggiuntivo di conformità [3].
2. Accesso amministrativo: un account con il ruolo di "Amministratore globale", "Amministratore della conformità" o "Log di controllo" sul portale di conformità di Microsoft Purview (https://compliance.microsoft.com).
3. Registrazione di controllo abilitata: la registrazione di controllo unificata deve essere abilitata.

Passo dopo passo: configurazione e monitoraggio delle attività degli utenti

1. Controllo e attivazione del registro di controllo

Per impostazione predefinita, il controllo è già abilitato nella maggior parte delle organizzazioni. Per verificare:

1. Accedere al portale di conformità di Microsoft Purview: https://compliance.microsoft.com.
2. Dal menu, seleziona Verifica.
3. Se l'audit non è attivo, vedrai un banner per avviare la registrazione. Fare clic su di esso.

2. Ricerca nel registro di controllo

Lo strumento di ricerca del registro di controllo è la risorsa principale per le indagini.

1. Nella pagina Audit del portale Purview, configura la tua ricerca:
   • Intervallo di date e ore (UTC): periodo dell'indagine.
   • Attività: filtra per azioni specifiche (ad esempio File a cui si è effettuato l'accesso, Utente loggato).
   • Utenti: specificare uno o più utenti.
   • File, cartella o sito web: perfeziona la ricerca a una risorsa specifica.
2. Fare clic su Cerca. I risultati possono essere esportati per l'analisi.

Utilizzo di PowerShell per la ricerca nei log di controllo

Per l'automazione e le ricerche complesse, PowerShell è l'ideale.

1. Connettersi a PowerShell di Exchange Online. "PowerShell". Connect-ExchangeOnline ```
2. Utilizzare il cmdlet "Cerca".-UnifiedAuditLog`. Esempio per cercare le attività di eliminazione file da parte di un utente negli ultimi 7 giorni: "PowerShell". Cerca-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -UserIds "[email protected]" -Operations FileDeleted -ResultSize 1000 | Format-Table CreationDate, UserId, Operations, AuditData ```

3. Creazione di avvisi sulle attività di controllo

Ricevi notifiche proattive quando si verificano attività critiche.

1. Nel portale di conformità di Microsoft Purview, vai a Criteri > Criteri di avviso.
2. Fare clic su Nuovo criterio di avviso.
3. Assegna un nome alla policy: assegnagli un nome descrittivo (ad esempio: "Avviso - Eliminazione file in blocco").
4. Attività: seleziona le attività che dovrebbero attivare l'avviso (es: File eliminato).
5. Condizioni: definire i trigger, ad esempio il numero di occorrenze in un determinato periodo di tempo per un singolo utente.
6. Destinatari: specificare chi deve ricevere la notifica e-mail.
7. Rivedi e crea la policy.

Controllo avanzato (Microsoft 365 E5)

Per le organizzazioni con severi requisiti di conformità e sicurezza, Advanced Audit offre funzionalità avanzate:

• Conservazione a lungo termine: conserva i log di controllo fino a 1 anno per impostazione predefinita, con la possibilità di estenderlo fino a 10 anni. Essenziale per le indagini forensi a lungo termine.
• Eventi di alto valore: accesso a eventi più dettagliati come "MailItemsAccessed" (quando è stata letta un'e-mail) e "SearchQueryInitiated" (cosa cercano gli utenti in SharePoint ed Exchange). Questi eventi sono cruciali per indagare sulle violazioni dei dati e sulle attività di ricognizione.
• Larghezza di banda API maggiore: accesso più rapido e a volume maggiore ai registri di controllo tramite l'API Management Activity di Office 365, facilitando l'integrazione con i sistemi SIEM.

Migliori pratiche per l'auditing e il monitoraggio

• Esamina regolarmente i registri: non aspettare che si verifichi un incidente. Pianifica revisioni dei registri settimanali o mensili per identificare le anomalie.
• Concentrarsi sulle attività ad alto rischio: dare priorità alle attività di monitoraggio come l'accesso alle caselle di posta di utenti non proprietari, la condivisione di file esterni e le modifiche delle autorizzazioni di amministratore.
• Integrazione con un SIEM: invia log di controllo a una soluzione SIEM come Microsoft Sentinel per la correlazione con altre origini dati e il rilevamento avanzato.
• Utilizza il principio del privilegio minimo: limita il numero di amministratori con accesso ai registri di controllo per evitare manomissioni.
• Documenta la tua strategia: conserva un documento che descrive quali attività vengono monitorate, perché e qual è la procedura di risposta per ciascun avviso.

Conclusione

Il controllo e il monitoraggio dell'attività degli utenti in Microsoft 365 non è solo una formalità di conformità, ma una componente attiva ed essenziale della difesa di un'organizzazione. Sfruttando gli strumenti disponibili nel portale di conformità di Microsoft Purview, automatizzando le ricerche con PowerShell e configurando avvisi proattivi, gli amministratori possono ottenere la visibilità di cui hanno bisogno per rilevare, indagare e rispondere in modo efficace alle minacce, proteggendo al contempo preziosi dati aziendali.

Riferimenti

[1]Microsoft. (2023). Panoramica del controllo delle competenze di Microsoft. [2]Microsoft. (2023). Cerca nel registro di controllo nel portale di conformità. [3]Microsoft. (2023). Controllo avanzato di Microsoft Purview.