审核和监控 Microsoft 365 中的用户活动

审核和监控 Microsoft 365 中的用户活动

2024年6月8日

这篇技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师在 Microsoft 365 中配置、使用和监视用户活动。审核和监视用户操作的能力对于安全、法规遵从性以及事件检测和响应至关重要,使组织能够识别可疑活动、调查违规行为并详细记录其环境中发生的情况 [1]。

简介

在现代工作场所中,跨多个平台和设备访问和共享数据,用户活动的可见性比以往任何时候都更加重要。 Microsoft 365 提供了一组强大的审核功能,可记录用户和管理员在 Exchange Online、SharePoint Online、OneDrive for Business、Microsoft Teams 和 Azure AD 等服务中执行的各种操作。这些审计日志是取证调查、合规性检查和了解数据在组织内如何使用的宝贵信息来源 [2]。

本操作指南将涵盖启用统一审核日志记录、在 Microsoft Purview 合规性门户中搜索审核日志、创建自定义警报以及持续监控的最佳实践。将提供分步说明、示例 PowerShell 命令和说明,以便读者可以实施有效的审核和监控策略,加强安全态势并确保 Microsoft 365 环境中的合规性。

为什么审核和监控在 Microsoft 365 中至关重要?

  • 威胁检测:识别可疑活动,例如未经授权的访问尝试、不当数据共享或关键设置更改。
  • 监管合规性:通过提供不可变的操作记录,帮助满足各种法规(例如 GDPR、LGPD、HIPAA、ISO 27001)的审核和合规性要求。
  • 事件调查:提供调查安全漏洞、数据泄露或恶意活动所需的数据,从而实现快速有效的响应。
  • 操作可见性:使管理员能够了解用户如何与 Microsoft 365 服务交互、优化使用情况并确定培训需求。

先决条件

  1. 许可:大多数 Microsoft 365 许可证都提供基本审核功能。对于长期保留和高价值事件(高级审核)等功能,需要 Microsoft 365 E5 许可证或合规性附加组件 [3]。
  2. 管理访问权限:在 Microsoft Purview 合规门户 (https://compliance.microsoft.com) 上具有“全局管理员”、“合规管理员”或“审核日志”权限角色的帐户。
  3. 启用审核日志记录:必须启用统一审核日志记录。

分步:配置和监控用户活动

1.检查并激活审核日志

默认情况下,大多数组织已启用审核。要检查:

  1. 访问 Microsoft Purview 合规性门户https://compliance.microsoft.com
  2. 从菜单中选择审核
  3. 如果审核未激活,您将看到开始记录的横幅。单击它。

2. 搜索审核日志

审核日志搜索工具是您进行调查的主要资源。

  1. 在 Purview 门户的 审核 页面上,配置您的搜索:
    • 日期和时间范围 (UTC):调查期间。
    • 活动:按特定操作过滤(例如“访问的文件”、“用户登录”)。
    • 用户:指定一个或多个用户。
    • 文件、文件夹或网站:将搜索细化到特定资源。
  2. 单击“搜索”。结果可以导出以供分析。

使用 PowerShell 搜索审核日志

对于自动化和复杂的搜索,PowerShell 是理想的选择。

  1. 连接到 Exchange Online PowerShell。 powershell 连接交换在线
  2. 使用“搜索”cmdlet-统一审核日志`。搜索用户在过去 7 天内的文件删除活动的示例: powershell Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -UserIds "[email protected]" -Operations FileDeleted -ResultSize 1000 |格式表创建日期、用户 ID、操作、审计数据

3. 创建审计活动警报

当发生关键活动时主动收到通知。

  1. 在 Microsoft Purview 合规性门户中,转至 策略 > 警报策略
  2. 单击“新警报策略”。
  3. 为策略命名:为其指定一个描述性名称(例如:“警报 - 批量文件删除”)。
  4. 活动:选择应触发警报的活动(例如:“已删除文件”)。
  5. 条件:定义触发器,例如单个用户在给定时间段内发生的次数。
  6. 收件人:指定谁应该接收电子邮件通知。
  7. 审查并制定政策。

高级审核 (Microsoft 365 E5)

对于具有严格合规性和安全性要求的组织,高级审核提供增强的功能:

  • 长期保留:默认情况下,审核日志最多保留 1 年,也可以选择延长至 10 年。对于长期法医调查至关重要。
  • 高价值事件:访问更详细的事件,例如“MailItemsAccessed”(阅读电子邮件时)和“SearchQueryInitiated”(用户在 SharePoint 和 Exchange 中搜索的内容)。这些事件对于调查数据泄露和侦察活动至关重要。
  • 更高的 API 带宽:通过 Office 365 管理活动 API 更快、更大容量地访问审核日志,促进与 SIEM 系统的集成。

审计和监控的最佳实践

  • 定期查看日志:不要等待事件发生。安排每周或每月的日志审查以识别异常情况。
  • 关注高风险活动:优先监控非所有者邮箱访问、外部文件共享和管理员权限更改等活动。
  • 与 SIEM 集成:将审核日志发送到 Microsoft Sentinel 等 SIEM 解决方案,以便与其他数据源关联并进行高级检测。
  • 使用最小权限原则:限制有权访问审核日志的管理员数量以防止篡改。
  • 记录您的策略:保留一份文档,描述哪些活动受到监控、原因以及每个警报的响应程序是什么。

结论

审核和监视 Microsoft 365 中的用户活动不仅仅是一种合规形式,而且是组织防御的积极且重要的组成部分。通过利用 Microsoft Purview 合规门户中提供的工具、使用 PowerShell 自动执行搜索以及配置主动警报,管理员可以获得有效检测、调查和响应威胁所需的可见性,同时保护宝贵的公司数据。

参考文献

[1] 微软。 (2023)。 微软权限审计概述。 [2] 微软。 (2023)。 在合规门户中搜索审核日志。 [3] 微软。 (2023)。 微软权限高级审核