Gebruikersactiviteiten controleren en monitoren in Microsoft 365

Gebruikersactiviteiten controleren en monitoren in Microsoft 365

06/08/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het configureren, gebruiken en monitoren van gebruikersactiviteiten in Microsoft 365. De mogelijkheid om gebruikersacties te controleren en te monitoren is van cruciaal belang voor de beveiliging, naleving van regelgeving en incidentdetectie en -respons, waardoor organisaties verdachte activiteiten kunnen identificeren, schendingen kunnen onderzoeken en gedetailleerd kunnen bijhouden wat er in hun omgeving gebeurt [1].

Introductie

Op de moderne werkplek, waar gegevens worden benaderd en gedeeld via meerdere platforms en apparaten, is inzicht in gebruikersactiviteiten belangrijker dan ooit. Microsoft 365 biedt een robuuste reeks auditmogelijkheden die een breed scala aan acties registreren die door gebruikers en beheerders zijn ondernomen in services zoals Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams en Azure AD. Deze auditlogboeken zijn een onschatbare bron van informatie voor forensisch onderzoek, nalevingscontroles en inzicht in de manier waarop gegevens binnen de organisatie worden gebruikt [2].

Deze handleiding behandelt het inschakelen van uniforme auditlogboekregistratie, het doorzoeken van auditlogboeken in de Microsoft Purview-complianceportal, het maken van aangepaste waarschuwingen en best practices voor continue monitoring. Er worden stapsgewijze instructies, voorbeeld PowerShell-opdrachten en beschrijvingen gegeven, zodat de lezer een effectieve audit- en monitoringstrategie kan implementeren, waardoor de beveiliging wordt versterkt en compliance in zijn Microsoft 365-omgeving wordt gegarandeerd.

Waarom zijn auditing en monitoring cruciaal in Microsoft 365?

  • Bedreigingsdetectie: Identificeert verdachte activiteiten, zoals ongeautoriseerde toegangspogingen, ongepast delen van gegevens of wijzigingen in kritieke instellingen.
  • Naleving van regelgeving: Helpt te voldoen aan audit- en nalevingsvereisten van verschillende regelgevingen (bijv. AVG, LGPD, HIPAA, ISO 27001) door een onveranderlijk overzicht van acties te bieden.
  • Incidentonderzoek: Biedt de gegevens die nodig zijn om beveiligingsinbreuken, datalekken of kwaadwillige activiteiten te onderzoeken, waardoor een snelle en effectieve reactie mogelijk is.
  • Operationele zichtbaarheid: stelt beheerders in staat te begrijpen hoe gebruikers omgaan met Microsoft 365-services, waardoor het gebruik wordt geoptimaliseerd en trainingsbehoeften worden geïdentificeerd.

Vereisten

  1. Licenties: Basiscontrole is beschikbaar voor de meeste Microsoft 365-licenties. Voor functies zoals langdurige retentie en gebeurtenissen met een hogere waarde (Advanced Auditing) is een Microsoft 365 E5-licentie of compliance-add-on [3] vereist.
  2. Beheerderstoegang: een account met de rol van 'Global Administrator', 'Compliance Administrator' of 'Audit Logs'-machtigingen op de Microsoft Purview-complianceportal ('https://compliance.microsoft.com').
  3. Auditregistratie ingeschakeld: uniforme auditregistratie moet zijn ingeschakeld.

Stap voor stap: gebruikersactiviteiten configureren en monitoren

1. Het auditlogboek controleren en activeren

In de meeste organisaties is auditing standaard al ingeschakeld. Om te controleren:

  1. Ga naar het Microsoft Purview-complianceportaal: https://compliance.microsoft.com.
  2. Selecteer Audit in het menu.
  3. Als de audit niet actief is, ziet u een banner om de opname te starten. Klik erop.

2. Zoeken in het auditlogboek

De zoekfunctie voor auditlogboeken is uw belangrijkste bron voor onderzoeken.

  1. Configureer uw zoekopdracht op de pagina Audit van het Purview-portaal:
    • Datum en tijdsbereik (UTC): Periode van het onderzoek.
    • Activiteiten: filter op specifieke acties (bijvoorbeeld Toegang tot bestand, Gebruiker ingelogd).
    • Gebruikers: geef een of meer gebruikers op.
    • Bestand, map of website: Verfijn de zoekopdracht tot een specifieke bron.
  2. Klik op Zoeken. Resultaten kunnen worden geëxporteerd voor analyse.

PowerShell gebruiken om auditlogboeken te doorzoeken

Voor automatisering en complexe zoekopdrachten is PowerShell ideaal.

  1. Maak verbinding met Exchange Online PowerShell. powershell Connect-ExchangeOnline
  2. Gebruik de Search-cmdlet-UnifiedAuditLog. Voorbeeld om te zoeken naar activiteiten voor het verwijderen van bestanden door een gebruiker in de afgelopen 7 dagen: powershell Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -UserIds "[email protected]" -Operations FileDeleted -ResultSize 1000 | Format-Table CreationDate, UserIds, Operations, AuditData

3. Waarschuwingen voor auditactiviteiten creëren

Ontvang proactief meldingen wanneer er kritieke activiteiten plaatsvinden.

  1. Ga in de nalevingsportal van Microsoft Purview naar Beleid > Waarschuwingsbeleid.
  2. Klik op Nieuw waarschuwingsbeleid.
  3. Geef het beleid een naam: geef het een beschrijvende naam (bijvoorbeeld: Waarschuwing - Bulkbestand verwijderen).
  4. Activiteiten: Selecteer de activiteiten die de waarschuwing moeten activeren (bijvoorbeeld: Verwijderd bestand).
  5. Voorwaarden: definieer triggers, zoals het aantal gebeurtenissen in een bepaalde periode voor een enkele gebruiker.
  6. Ontvangers: Geef op wie de e-mailmelding moet ontvangen.
  7. Controleer en maak het beleid.

Geavanceerde controle (Microsoft 365 E5)

Voor organisaties met strenge compliance- en beveiligingsvereisten biedt Advanced Audit verbeterde mogelijkheden:

  • Bewaring op lange termijn: bewaar auditlogboeken standaard maximaal 1 jaar, met de optie om deze te verlengen tot 10 jaar. Essentieel voor langdurig forensisch onderzoek.
  • Gebeurtenissen met hoge waarde: toegang tot meer gedetailleerde gebeurtenissen zoals 'MailItemsAccessed' (wanneer een e-mail werd gelezen) en 'SearchQueryInitiated' (waar gebruikers naar zoeken in SharePoint en Exchange). Deze gebeurtenissen zijn cruciaal voor het onderzoeken van datalekken en verkenningsactiviteiten.
  • Hogere API-bandbreedte: snellere toegang tot auditlogboeken met een groter volume via de Office 365 Management Activity API, waardoor integratie met SIEM-systemen wordt vergemakkelijkt.

Beste praktijken voor auditing en monitoring

  • Bekijk logboeken regelmatig: wacht niet op een incident. Plan wekelijkse of maandelijkse logbeoordelingen om afwijkingen te identificeren.
  • Focus op activiteiten met een hoog risico: geef prioriteit aan monitoringactiviteiten, zoals toegang tot mailboxen die niet van de eigenaar zijn, het delen van externe bestanden en wijzigingen in beheerdersrechten.
  • Integreren met een SIEM: stuur auditlogboeken naar een SIEM-oplossing zoals Microsoft Sentinel voor correlatie met andere gegevensbronnen en geavanceerde detectie.
  • Gebruik het principe van de minste bevoegdheden: Beperk het aantal beheerders met toegang tot auditlogboeken om manipulatie te voorkomen.
  • Documenteer uw strategie: houd een document bij waarin wordt beschreven welke activiteiten worden gemonitord, waarom en wat de reactieprocedure voor elke waarschuwing is.

Conclusie

Het controleren en monitoren van gebruikersactiviteiten in Microsoft 365 is niet alleen een complianceformaliteit, maar een actief en essentieel onderdeel van de verdediging van een organisatie. Door gebruik te maken van de tools die beschikbaar zijn in de Microsoft Purview-complianceportal, zoekopdrachten te automatiseren met PowerShell en proactieve waarschuwingen te configureren, kunnen beheerders de zichtbaarheid krijgen die ze nodig hebben om bedreigingen effectief te detecteren, onderzoeken en erop te reageren en tegelijkertijd waardevolle bedrijfsgegevens te beschermen.

Referenties

[1]Microsoft. (2023). Microsoft Purview-auditoverzicht. [2]Microsoft. (2023). Zoek het auditlogboek in het complianceportaal. [3]Microsoft. (2023). Microsoft Purview Geavanceerde controle.