Microsoft 365'te Kullanıcı Etkinliklerini Denetleme ve İzleme

Microsoft 365'te Kullanıcı Etkinliklerini Denetleme ve İzleme

06/08/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine Microsoft 365'teki kullanıcı etkinliğini yapılandırma, kullanma ve izleme konusunda rehberlik etmeyi amaçlamaktadır. Kullanıcı eylemlerini denetleme ve izleme yeteneği güvenlik, mevzuat uyumluluğu ve olay algılama ve yanıtlama açısından kritik öneme sahiptir ve kuruluşların şüpheli etkinliği belirlemesine, ihlalleri araştırmasına ve ortamlarında olup bitenlerin ayrıntılı bir kaydını tutmasına olanak tanır [1].

Giriş

Verilere birden fazla platform ve cihaz üzerinden erişilip paylaşıldığı modern işyerlerinde, kullanıcı etkinliklerinin görünürlüğü her zamankinden daha kritik hale geldi. Microsoft 365, Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams ve Azure AD gibi hizmetlerde kullanıcılar ve yöneticiler tarafından gerçekleştirilen çok çeşitli eylemleri kaydeden güçlü bir denetim özellikleri kümesi sunar. Bu denetim günlükleri, adli soruşturmalar, uyumluluk kontrolleri ve verilerin kuruluş içinde nasıl kullanıldığının anlaşılması için paha biçilmez bir bilgi kaynağıdır [2].

Bu nasıl yapılır kılavuzu, birleştirilmiş denetim günlüğünü etkinleştirmeyi, Microsoft Purview uyumluluk portalında denetim günlüklerini aramayı, özel uyarılar oluşturmayı ve sürekli izlemeye yönelik en iyi uygulamaları kapsayacaktır. Okuyucunun etkili bir denetim ve izleme stratejisi uygulayabilmesi, güvenlik duruşunu güçlendirebilmesi ve Microsoft 365 ortamında uyumluluğu sağlayabilmesi için adım adım talimatlar, örnek PowerShell komutları ve açıklamalar sağlanacaktır.

Microsoft 365'te Denetim ve İzleme neden önemlidir?

  • Tehdit Algılama: Yetkisiz erişim girişimleri, uygunsuz veri paylaşımı veya kritik ayarlarda yapılan değişiklikler gibi şüpheli etkinlikleri tanımlar.
  • Düzenlemelere Uygunluk: Eylemlerin değişmez bir kaydını sağlayarak çeşitli düzenlemelerin (ör. GDPR, LGPD, HIPAA, ISO 27001) denetim ve uyumluluk gereksinimlerinin karşılanmasına yardımcı olur.
  • Olay Araştırması: Güvenlik ihlallerini, veri sızıntılarını veya kötü amaçlı etkinlikleri araştırmak için gereken verileri sağlayarak hızlı ve etkili bir yanıt sağlar.
  • Operasyonel Görünürlük: Yöneticilerin, kullanıcıların Microsoft 365 hizmetleriyle nasıl etkileşim kurduğunu anlamasına, kullanımı optimize etmesine ve eğitim ihtiyaçlarını belirlemesine olanak tanır.

Önkoşullar

  1. Lisanslama: Temel denetim çoğu Microsoft 365 lisansında mevcuttur. Uzun vadeli saklama ve daha yüksek değerli olaylar (Gelişmiş Denetim) gibi özellikler için bir Microsoft 365 E5 lisansı veya uyumluluk eklentisi [3] gereklidir.
  2. Yönetici Erişimi: Microsoft Purview uyumluluk portalında ("https://compliance.microsoft.com") "Genel Yönetici", "Uyumluluk Yöneticisi" veya "Denetim Günlükleri" izinlerine sahip bir hesap.
  3. Denetim Günlüğü Etkinleştirildi: Birleştirilmiş denetim günlüğünün etkinleştirilmesi gerekir.

Adım Adım: Kullanıcı Etkinliklerini Yapılandırma ve İzleme

1. Denetim Günlüğünü Kontrol Etme ve Etkinleştirme

Varsayılan olarak denetim çoğu kuruluşta zaten etkindir. Kontrol etmek için:

  1. Microsoft Purview uyumluluk portalına erişin: https://compliance.microsoft.com.
  2. Menüden Denetim'i seçin.
  3. Denetim aktif değilse, kaydı başlatmak için bir başlık göreceksiniz. Üzerine tıklayın.

2. Denetim Günlüğünü Arama

Denetim günlüğü arama aracı, soruşturmalar için ana kaynağınızdır.

  1. Purview portalının Denetim sayfasında aramanızı yapılandırın:
    • Tarih ve saat aralığı (UTC): İncelemenin süresi.
    • Etkinlikler: Belirli işlemlere göre filtreleyin (ör. "Erişilen dosya", "Oturum açan kullanıcı").
    • Kullanıcılar: Bir veya daha fazla kullanıcıyı belirtin.
    • Dosya, klasör veya web sitesi: Aramayı belirli bir kaynağa göre daraltın.
  2. Ara'yı tıklayın. Sonuçlar analiz için dışa aktarılabilir.

Denetim Günlüklerini Aramak için PowerShell'i Kullanma

Otomasyon ve karmaşık aramalar için PowerShell idealdir.

  1. Exchange Online PowerShell'e bağlanın. ```powershell Connect-ExchangeOnline ''''
  2. `Arama cmdlet'ini kullanın-Birleşik Denetim Günlüğü'. Bir kullanıcının son 7 gün içindeki dosya silme etkinliklerini aramaya yönelik örnek: ```powershell Arama-UnifiedAuditLog -BaşlangıçTarihi (Get-Tarihi).AddDays(-7) -BitişTarihi (Get-Date) -UserIds "[email protected]" -Operations FileDeleted -ResultSize 1000 | Format-Tablo Oluşturma Tarihi, Kullanıcı Kimlikleri, İşlemler, Denetim Verileri ''''

3. Denetim Faaliyetlerine İlişkin Uyarılar Oluşturma

Kritik faaliyetler gerçekleştiğinde proaktif olarak bildirim alın.

  1. Microsoft Purview uyumluluk portalında İlkeler > Uyarı İlkeleri'ne gidin.
  2. Yeni Uyarı Politikası'nı tıklayın.
  3. Politikaya bir ad verin: Açıklayıcı bir ad verin (ör. "Uyarı - Toplu Dosya Silme").
  4. Etkinlikler: Uyarıyı tetiklemesi gereken etkinlikleri seçin (ör. "Silinen dosya").
  5. Koşullar: Tek bir kullanıcı için belirli bir zaman diliminde meydana gelme sayısı gibi tetikleyicileri tanımlayın.
  6. Alıcılar: E-posta bildirimini kimlerin alması gerektiğini belirtin.
  7. Politikayı inceleyin ve oluşturun.

Gelişmiş Denetim (Microsoft 365 E5)

Sıkı uyumluluk ve güvenlik gereksinimleri olan kuruluşlar için Gelişmiş Denetim, gelişmiş yetenekler sunar:

  • Uzun Süreli Saklama: Denetim günlüklerini varsayılan olarak 1 yıla kadar, 10 yıla kadar uzatma seçeneğiyle saklayın. Uzun vadeli adli araştırmalar için gereklidir.
  • Yüksek Değerli Etkinlikler: "MailItemsAccessed" (bir e-posta okunduğunda) ve "SearchQueryInitiated" (kullanıcıların SharePoint ve Exchange'de aradıkları) gibi daha ayrıntılı etkinliklere erişim. Bu olaylar, veri ihlallerinin ve keşif faaliyetlerinin araştırılması açısından çok önemlidir.
  • Daha Yüksek API Bant Genişliği: Office 365 Yönetim Etkinliği API'si aracılığıyla denetim günlüklerine daha hızlı, daha yüksek hacimli erişim, SIEM sistemleriyle entegrasyonu kolaylaştırır.

Denetim ve İzleme için En İyi Uygulamalar

  • Günlükleri Düzenli Olarak İnceleyin: Bir olay olmasını beklemeyin. Anormallikleri belirlemek için haftalık veya aylık günlük incelemeleri planlayın.
  • Yüksek Riskli Faaliyetlere Odaklanın: Sahibi olmayan posta kutusu erişimi, harici dosya paylaşımı ve yönetici izin değişiklikleri gibi izleme faaliyetlerine öncelik verin.
  • SIEM ile entegrasyon: Diğer veri kaynaklarıyla korelasyon ve gelişmiş algılama için denetim günlüklerini Microsoft Sentinel gibi bir SIEM çözümüne gönderin.
  • En Az Ayrıcalık İlkesini Kullanın: Kurcalamayı önlemek için denetim günlüklerine erişimi olan yönetici sayısını sınırlayın.
  • Stratejinizi belgeleyin: Hangi faaliyetlerin izlendiğini, nedenini ve her uyarı için yanıt prosedürünün ne olduğunu açıklayan bir belge tutun.

Sonuç

Microsoft 365'teki kullanıcı etkinliğini denetlemek ve izlemek yalnızca bir uyumluluk formalitesi değil, aynı zamanda bir kuruluşun savunmasının etkin ve önemli bir bileşenidir. Yöneticiler, Microsoft Purview uyumluluk portalında bulunan araçlardan yararlanarak, PowerShell ile aramaları otomatikleştirerek ve proaktif uyarıları yapılandırarak, değerli şirket verilerini korurken tehditleri etkili bir şekilde tespit etmek, araştırmak ve bunlara yanıt vermek için ihtiyaç duydukları görünürlüğü elde edebilir.

Referanslar

[1] Microsoft. (2023). Microsoft Purview Denetimine Genel Bakış. [2] Microsoft. (2023). Uyumluluk portalında denetim günlüğünü arayın. [3] Microsoft. (2023). Microsoft Purview Gelişmiş Denetim.