Аудит и мониторинг действий пользователей в Microsoft 365

Аудит и мониторинг действий пользователей в Microsoft 365

08.06.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам в настройке, использовании и мониторинге активности пользователей в Microsoft 365. Возможность аудита и мониторинга действий пользователей имеет решающее значение для безопасности, соблюдения нормативных требований, а также обнаружения и реагирования на инциденты, позволяя организациям выявлять подозрительную активность, расследовать нарушения и вести подробный учет того, что происходит в их среде [1].

Введение

На современном рабочем месте, где доступ к данным и их совместное использование осуществляется на нескольких платформах и устройствах, прозрачность действий пользователей становится более важной, чем когда-либо. Microsoft 365 предлагает надежный набор возможностей аудита, которые записывают широкий спектр действий, выполняемых пользователями и администраторами в таких службах, как Exchange Online, SharePoint Online, OneDrive для бизнеса, Microsoft Teams и Azure AD. Эти журналы аудита являются бесценным источником информации для судебных расследований, проверок соответствия и понимания того, как данные используются внутри организации [2].

В этом практическом руководстве будут рассмотрены включение унифицированного ведения журнала аудита, поиск журналов аудита на портале соответствия Microsoft Purview, создание настраиваемых оповещений и рекомендации по непрерывному мониторингу. Будут предоставлены пошаговые инструкции, примеры команд PowerShell и описания, чтобы читатель мог реализовать эффективную стратегию аудита и мониторинга, укрепить уровень безопасности и обеспечить соответствие требованиям в своей среде Microsoft 365.

Почему аудит и мониторинг так важны в Microsoft 365?

  • Обнаружение угроз: выявляет подозрительные действия, такие как попытки несанкционированного доступа, неправильный обмен данными или изменение критических настроек.
  • Соответствие нормативным требованиям: помогает обеспечить соответствие требованиям аудита и соответствия различным нормативным актам (например, GDPR, LGPD, HIPAA, ISO 27001), предоставляя неизменяемую запись действий.
  • Расследование инцидентов: предоставляет данные, необходимые для расследования нарушений безопасности, утечек данных или вредоносных действий, что позволяет быстро и эффективно реагировать.
  • Эксплуатационная прозрачность: позволяет администраторам понять, как пользователи взаимодействуют со службами Microsoft 365, оптимизируя использование и определяя потребности в обучении.

Предварительные условия

  1. Лицензирование. Базовый аудит доступен для большинства лицензий Microsoft 365. Для таких функций, как долгосрочное хранение и события с более высокой ценностью (расширенный аудит), требуется лицензия Microsoft 365 E5 или надстройка соответствия требованиям [3].
  2. Административный доступ: учетная запись с ролью «Глобальный администратор», «Администратор соответствия» или «Журналы аудита» на портале соответствия Microsoft Purview (https://compliance.microsoft.com).
  3. Ведение журнала аудита включено: необходимо включить унифицированное ведение журнала аудита.

Шаг за шагом: настройка и мониторинг действий пользователей

1. Проверка и активация журнала аудита

По умолчанию аудит уже включен в большинстве организаций. Чтобы проверить:

  1. Откройте портал соответствия Microsoft Purview: https://compliance.microsoft.com.
  2. В меню выберите Аудит.
  3. Если аудит не активен, вы увидите баннер начала записи. Нажмите на него.

2. Поиск в журнале аудита

Инструмент поиска в журнале аудита — ваш основной ресурс для проведения расследований.

  1. На странице Аудит портала Purview настройте поиск:
    • Диапазон дат и времени (UTC): период расследования.
    • Действия: фильтрация по конкретным действиям (например, «Доступ к файлу», «Пользователь вошел в систему»).
    • Пользователи: укажите одного или нескольких пользователей.
    • Файл, папка или веб-сайт: уточните поиск по конкретному ресурсу.
  2. Нажмите Поиск. Результаты можно экспортировать для анализа.

Использование PowerShell для поиска в журналах аудита

Для автоматизации и сложного поиска идеально подходит PowerShell.

  1. Подключитесь к Exchange Online PowerShell. powershell Connect-ExchangeOnline
  2. Используйте командлет поиска-UnifiedAuditLog`. Пример поиска действий пользователя по удалению файлов за последние 7 дней: powershell Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -UserIds "[email protected]" -Operations FileDeleted -ResultSize 1000 | Формат-таблица CreationDate, UserIds, Operations, AuditData

3. Создание оповещений об аудиторских действиях

Получайте упреждающие уведомления о возникновении критических действий.

  1. На портале соответствия Microsoft Purview перейдите в раздел Политики > Политики оповещений.
  2. Нажмите Новая политика оповещений.
  3. Назовите политику. Дайте ей описательное имя (например: «Оповещение — массовое удаление файлов»).
  4. Действия: выберите действия, которые должны вызвать оповещение (например: «Удаленный файл»).
  5. Условия. Определите триггеры, например количество вхождений за определенный период времени для одного пользователя.
  6. Получатели: укажите, кто должен получать уведомление по электронной почте.
  7. Просмотрите и создайте политику.

Расширенный аудит (Microsoft 365 E5)

Для организаций со строгими требованиями соответствия и безопасности Advanced Audit предлагает расширенные возможности:

  • Долгосрочное хранение: по умолчанию журналы аудита хранятся до 1 года с возможностью продления до 10 лет. Необходим для долгосрочных судебно-медицинских расследований.
  • События высокой значимости: доступ к более подробным событиям, таким как MailItemsAccessed (когда было прочитано электронное письмо) и SearchQueryInitiated (то, что пользователи ищут в SharePoint и Exchange). Эти события имеют решающее значение для расследования утечек данных и разведывательной деятельности.
  • Более высокая пропускная способность API: более быстрый и объемный доступ к журналам аудита через API действий управления Office 365, что облегчает интеграцию с системами SIEM.

Лучшие практики аудита и мониторинга

  • Регулярно просматривайте журналы: не ждите инцидента. Запланируйте еженедельные или ежемесячные проверки журналов для выявления аномалий.
  • Сосредоточьтесь на действиях с высоким риском. Уделяйте приоритетное внимание таким действиям по мониторингу, как доступ к почтовому ящику, не являющемуся владельцем, общий доступ к внешним файлам и изменение разрешений администратора.
  • Интеграция с SIEM: отправляйте журналы аудита в решение SIEM, например Microsoft Sentinel, для корреляции с другими источниками данных и расширенного обнаружения.
  • Используйте принцип наименьших привилегий: ограничьте количество администраторов, имеющих доступ к журналам аудита, чтобы предотвратить несанкционированное вмешательство.
  • Задокументируйте свою стратегию. Сохраняйте документ, в котором описывается, какие действия отслеживаются, почему и какова процедура реагирования на каждое предупреждение.

Заключение

Аудит и мониторинг активности пользователей в Microsoft 365 — это не просто формальность соблюдения требований, а активный и важный компонент защиты организации. Используя инструменты, доступные на портале соответствия требованиям Microsoft Purview, автоматизируя поиск с помощью PowerShell и настраивая упреждающие оповещения, администраторы могут получить видимость, необходимую им для эффективного обнаружения, расследования и реагирования на угрозы, одновременно защищая ценные данные компании.

Ссылки

[1] Майкрософт. (2023). Обзор аудита Microsoft Purview. [2] Майкрософт. (2023). Поищите журнал аудита на портале соответствия. [3] Майкрософт. (2023). Расширенный аудит Microsoft Purview.