alphaspirit - stock.adobe.com
So arbeiten Sie mit den Audit-Logs in Office 365
Administratoren, können Sicherheitsprobleme in der Office 365-Plattform aufspüren, indem sie ihre Audit-Protokolle gezielt hinsichtlich auffälliger Aktivitäten untersuchen.
Als Windows-Administrator sollten Sie alle wichtigen Verwaltungs-Tools von Office 365 kennen. Denn sie verbessern die Sicherheit, die Konsistenz und sparen Ihnen eine Menge Zeit.
Ihr Ausgangspunkt ist die zentrale Verwaltungskonsole, die Details zu Benutzeraktivitäten und Ereignissen im System anzeigt. Eine zusätzliche Überwachungsebene bieten die Audit-Protokolle mit tieferen Einblicken in die Ereignisse im Office-365-Tenant, einschließlich der Administratoraktivitäten. Hacker wissen, dass immer mehr Unternehmen Office 365 nutzen. Deshalb sollten Sie proaktiv vorgehen und Audit-Protokolle nutzen, um verdächtige Aktivitäten zu entdecken.
Das einheitliche Audit-Protokoll ist eine wertvolle Komponente von Office 365, da es Administratoren dabei hilft, eine Vielzahl von Anfragen aus verschiedenen Abteilungen in Bezug auf Benutzer zu bearbeiten. Einige Beispiele für diese Anfragen sind:
- Löschen von und Zugriff auf Dateien;
- Aktivitäten von Benutzern in Bezug auf sensible Daten;
- Anmeldeverhalten von Benutzern im Rahmen eines Sicherheitsvorfalls;
- Änderungen an administrativen Berechtigungen im System;
- Downloads oder Extraktionen von Dateien auf externe Geräte.
Bei der Verwaltung von On-Premises-Systemen mussten sich die Administratoren bei verschiedenen Bereichen anmelden, zum Beispiel bei der Exchange-Administrationskonsole, der zentralen Verwaltung in SharePoint, Active Directory und den Dateiservern, um diese Informationsanforderungen zu erfüllen. Bei Office 365 hingegen hat Microsoft die Verwaltungsaktivitäten in einem einzigen Verwaltungsportal für Exchange Online, Yammer, Microsoft Teams, OneDrive, Power BI, Dynamics 365, Power Automate (ehemals Microsoft Flow), Power Apps, Microsoft Forms, SharePoint Online, Azure Active Directory (AD), Sway und das Security and Compliance Center zusammengefasst.
Die meisten Audit-Informationen für diese Dienste können Sie durch die Verwendung der Office 365 Unified Audit Logs aus dem Security Admin Portal unter diesem Link abrufen. Durch die Suchfunktion des Audit-Protokolls grenzen Sie Ergebnisse anhand verschiedener Kriterien, beispielsweise Zeitpunkt oder Art der Aktivität, ein.
So führen Sie eine Office-365-Audit-Protokollsuche durch
Office-365-Administratoren müssen auf Anzeichen von Datenschutzverletzungen oder Hackerangriffen achten. Das vereinheitlichte Office 365-Audit-Protokoll hilft beim Überprüfen von Ereignissen, um verdächtige Aktivitäten in allen Microsoft-Diensten zu identifizieren. Um beispielsweise Aktivitäten im Zusammenhang mit Dateilöschungen aufzudecken, legen Sie einen Zeitrahmen fest und wählen dann Löschen aus dem Aktivitätenmenü.
Verdächtige Exchange-Aktivitäten wären beispielsweise große Mengen an gelöschten E-Mails. Hier könnten ein bösartiger Insider oder ein Hacker versuchen, seine Aktivitäten zu verbergen, nachdem er die Anmeldeinformationen eines Benutzers gekapert hat.
Sie können Audit-Datensätze in eine CSV-Datei (Comma-Separated Values) exportieren, um sie in Microsoft Excel oder Power BI zu untersuchen.
PowerShell zum Durchsuchen des Unified Audit Log verwenden
Wenn Sie PowerShell bevorzugen, nutzen Sie das ExchangeOnlineManagement-Modul, auch bekannt als Exchange Online PowerShell V2-Modul. Es enthält unter anderem das Cmdlet Search-UnifiedAuditLog. Trotz des Namens deckt das ExchangeOnlineManagement-Modul Ereignisse in allen Office-365-Diensten auf, ähnlich wie die GUI-Version (Grafische Benutzeroberfläche) im Admin-Portal.
Das Cmdlet ist mit mehreren Parametern kombinierbar, darunter den Datumsbereich, die Benutzer-ID und Textzeichenfolgen, um die Kriterien zur Eingrenzung der Ergebnisse zu definieren. Im folgenden Beispiel wird nach den Aktivitäten eines bestimmten Benutzers zwischen Anfang Januar und Ende März gesucht.
Search-UnifiedAuditLog -StartDate 1/1/2022 -EndDate 3/31/2022 -UserIds "[email protected]"
Die Standardeinstellung für die Ergebnisse des Cmdlets Search-UnifiedAuditLog ist 100, lässt sich aber mit dem Parameter -ResultSize auf maximal 5.000 anpassen. Weitere Informationen zu diesem Cmdlet finden Sie in der Dokumentation unter diesem Link.
Alarme für verdächtige Aktivitäten einrichten
Sie können Warnungen einrichten, um Benachrichtigungen für bestimmte Benutzeraktivitäten zu erhalten. Das Beispiel im Screenshot sendet E-Mail-Benachrichtigungen, wenn ein Benutzer Nachrichten aus einem Postfach löscht oder E-Mails aus dem Ordner für gelöschte Objekte löscht. Sie können Warnmeldungen für andere Aktivitäten im System und für alle oder bestimmte Benutzer konfigurieren.
Aufbewahrungsrichtlinie für das einheitliche Audit-Protokoll ändern
Das Audit-Protokoll ist zwar sehr detailliert und umfassend, aber leider nicht besonders langlebig. Microsoft erlaubt den Zugriff auf die letzten 90 Tage der Audit-Daten.
Kunden, die Office 365 E5, Microsoft 365 E5 Lizenz, Microsoft 365 E5 Compliance oder Microsoft 365 E5 eDiscovery mit der Audit-Zusatzlizenz abonnieren, erhalten immerhin ein Jahr lang gespeicherte Protokolle für Exchange Online, SharePoint Online und Azure Active Directory. Administratoren haben daneben die Möglichkeit, die Audit-Aufbewahrungsrichtlinie zu verwenden, um Daten bis zu einem Jahr aufzubewahren, aber dies erfordert, dass der Administrator diese Einstellungen manuell konfiguriert.
Für Unternehmen, die ein SIEM-Produkt (Security Information and Event Management) verwenden, gibt es die Office 365 Management Activity API, mi der Drittanbieter Zugriff auf das Audit-Protokoll bekommen. Produkte wie Sumo Logic Cloud SIEM können Informationen zu Office 365-Benutzeraktivitäten und Details zu Netzwerkverkehr, Servern und Systemereignissen eingeben.
Das einheitliche Audit-Protokoll soll einen gewissen Einblick in die Aktivitäten der Endbenutzer in Office 365 geben. Es verfolgt zwar mehrere kritische Benutzeraktivitäten, aber die Warnungen des einheitlichen Audit-Protokolls sollten nicht als primäres Tool zum Schutz des Unternehmens vor Angreifern verwendet werden. Vielmehr soll das vereinheitlichte Audit-Protokoll die Zeitachse der Benutzeraktivitäten und deren Ursprung aufzeigen, um bei Untersuchungen zu helfen.