Microsoft 365 でのユーザー アクティビティの監査と監視

Microsoft 365 でのユーザー アクティビティの監査と監視

2024/06/08

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Microsoft 365 でのユーザー アクティビティの構成、使用、および監視をガイドすることを目的としています。ユーザー アクションを監査および監視する機能は、セキュリティ、規制遵守、インシデントの検出と対応にとって重要であり、組織が不審なアクティビティを特定し、違反を調査し、環境内で何が起こっているかを詳細に記録できるようになります [1]。

はじめに

複数のプラットフォームやデバイス間でデータがアクセスおよび共有される現代の職場では、ユーザーのアクティビティの可視性がこれまで以上に重要になっています。 Microsoft 365 は、Exchange Online、SharePoint Online、OneDrive for Business、Microsoft Teams、Azure AD などのサービス全体でユーザーと管理者が実行した幅広いアクションを記録する、堅牢な監査機能のセットを提供します。これらの監査ログは、フォレンジック調査、コンプライアンスチェック、および組織内でのデータの使用方法を理解するための貴重な情報源です [2]。

このハウツー ガイドでは、統合監査ログの有効化、Microsoft Purview コンプライアンス ポータルでの監査ログの検索、カスタム アラートの作成、継続的な監視のベスト プラクティスについて説明します。読者が効果的な監査および監視戦略を実装し、セキュリティ体制を強化し、Microsoft 365 環境でのコンプライアンスを確保できるように、段階的な手順、PowerShell コマンドの例、および説明が提供されます。

Microsoft 365 では監査と監視が重要であるのはなぜですか?

  • 脅威の検出: 不正なアクセスの試み、不適切なデータ共有、重要な設定の変更などの不審なアクティビティを特定します。
  • 規制コンプライアンス: アクションの不変記録を提供することで、さまざまな規制 (GDPR、LGPD、HIPAA、ISO 27001 など) の監査およびコンプライアンス要件を満たすのに役立ちます。
  • インシデント調査: セキュリティ侵害、データ漏洩、悪意のある活動の調査に必要なデータを提供し、迅速かつ効果的な対応を可能にします。
  • 運用の可視性: 管理者は、ユーザーが Microsoft 365 サービスとどのようにやり取りしているかを理解し、使用状況を最適化し、トレーニングのニーズを特定できます。

前提条件

  1. ライセンス: 基本的な監査は、ほとんどの Microsoft 365 ライセンスで利用できます。長期保存やより価値の高いイベント (高度な監査) などの機能を使用するには、Microsoft 365 E5 ライセンスまたはコンプライアンス アドオン [3] が必要です。
  2. 管理アクセス: Microsoft Purview コンプライアンス ポータル (「https://compliance.microsoft.com」) で「グローバル管理者」、「コンプライアンス管理者」、または「監査ログ」の権限を持つアカウント。
  3. 監査ログの有効化: 統合監査ログを有効にする必要があります。

ステップバイステップ: ユーザーアクティビティの構成と監視

1. 監査ログの確認とアクティブ化

デフォルトでは、監査はほとんどの組織ですでに有効になっています。確認するには:

  1. Microsoft Purview コンプライアンス ポータル: https://compliance.microsoft.com にアクセスします。
  2. メニューから [監査] を選択します。
  3. 監査がアクティブでない場合は、記録を開始するためのバナーが表示されます。それをクリックしてください。

2. 監査ログの検索

監査ログ検索ツールは、調査のための主要なリソースです。

  1. Purview ポータルの 監査 ページで、検索を設定します。
    • 日付と時刻の範囲 (UTC): 調査の期間。
    • アクティビティ: 特定のアクションでフィルターします (例: 「アクセスされたファイル」、「ユーザーがログイン」)。
    • ユーザー: 1 人以上のユーザーを指定します。
    • ファイル、フォルダー、または Web サイト: 検索を特定のリソースに絞り込みます。
  2. [検索] をクリックします。結果は分析のためにエクスポートできます。

PowerShell を使用した監査ログの検索

自動化と複雑な検索には、PowerShell が最適です。

  1. Exchange Online PowerShell に接続します。 パワーシェル Connect-ExchangeOnline 「」 2.「検索」コマンドレットを使用します。-UnifiedAuditLog`。過去 7 日間のユーザーによるファイル削除アクティビティを検索する例:パワーシェル Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -UserIds "[email protected]" -Operations FileDeleted -ResultSize 1000 |形式 - テーブル作成日、ユーザー ID、操作、監査データ 「」

3. 監査アクティビティに関するアラートの作成

重要なアクティビティが発生したときに、事前に通知を受け取ります。

  1. Microsoft Purview コンプライアンス ポータルで、ポリシー > アラート ポリシー に移動します。
  2. [新しいアラート ポリシー] をクリックします。
  3. ポリシーに名前を付けます: わかりやすい名前を付けます (例: 「アラート - 一括ファイル削除」)。
  4. アクティビティ: アラートをトリガーするアクティビティを選択します (例: 「削除されたファイル」)。
  5. 条件: 単一ユーザーの一定期間内の発生回数などのトリガーを定義します。
  6. 受信者: 電子メール通知を受信する人を指定します。
  7. ポリシーを 確認して作成します。

高度な監査 (Microsoft 365 E5)

厳格なコンプライアンス要件とセキュリティ要件を持つ組織向けに、Advanced Audit は次の強化された機能を提供します。

  • 長期保存: 監査ログはデフォルトで最大 1 年間保存されますが、10 年間まで延長するオプションもあります。長期にわたるフォレンジック調査には不可欠です。
  • 高価値イベント: MailItemsAccessed (電子メールが読まれたとき) や SearchQueryInitiated (ユーザーが SharePoint および Exchange で検索しているもの) などのより詳細なイベントにアクセスします。これらのイベントは、データ侵害の調査や偵察活動にとって非常に重要です。
  • より高い API 帯域幅: Office 365 管理アクティビティ API を介した監査ログへの高速かつ大量のアクセスにより、SIEM システムとの統合が容易になります。

監査と監視のベスト プラクティス

  • 定期的にログを確認する: インシデントが発生するまで待ってはいけません。毎週または毎月のログレビューをスケジュールして、異常を特定します。
  • 高リスクのアクティビティに重点を置く: 所有者以外のメールボックス アクセス、外部ファイル共有、管理者権限の変更などの監視アクティビティを優先します。
  • SIEM との統合: 他のデータ ソースとの関連付けや高度な検出のために、監査ログを Microsoft Sentinel などの SIEM ソリューションに送信します。
  • 最小特権の原則を使用する: 改ざんを防ぐために、監査ログにアクセスできる管理者の数を制限します。
  • 戦略を文書化する: どのアクティビティを監視するのか、その理由、および各アラートへの対応手順を説明した文書を保管してください。

結論

Microsoft 365 でのユーザー アクティビティの監査と監視は、単なるコンプライアンスの形式ではなく、組織の防御のアクティブかつ不可欠なコンポーネントです。 Microsoft Purview コンプライアンス ポータルで利用可能なツールを活用し、PowerShell で検索を自動化し、プロアクティブなアラートを構成することで、管理者は貴重な企業データを保護しながら、脅威を効果的に検出、調査、対応するために必要な可視性を得ることができます。

参考文献

[1] マイクロソフト。 (2023年)。 Microsoft Purview 監査の概要。 [2] マイクロソフト。 (2023年)。 コンプライアンス ポータルで監査ログを検索。 [3] マイクロソフト。 (2023年)。 Microsoft Purview の高度な監査