Технический совет: как включить аудит почтовых ящиков в Office 365

В связи с постоянно растущей потребностью в дополнительной информации о безопасности ваших систем, особенно почты, Microsoft всегда выпускает новые функции, помогающие выявлять угрозы для вашей среды

В связи с постоянно растущей потребностью в дополнительной информации о безопасности ваших систем, особенно почты, Microsoft всегда выпускает новые функции, помогающие выявлять угрозы для вашей среды. Скажем, например, у вас есть пользователь, чей пароль был взломан, и до того, как вы узнали и заблокировали учетную запись, вы полагали, что изменения могли быть внесены. Обычно в этой ситуации большинство людей должны были бы исследовать изменения, которые были сделаны вручную. Глядя на правила почтовых ящиков, переадресацию, SMTP-адреса и тому подобное, чтобы определить, что отличается. К счастью, с добавлением Центра безопасности и соответствия требованиям, а также аудита почтовых ящиков ручные проверки постепенно уходят в прошлое.

Аудит почтовых ящиков - это функция, которая была добавлена ​​в Office 365, когда был выпущен Центр обеспечения безопасности и соответствия требованиям. По умолчанию аудит почтовых ящиков не включен ни в одном из клиентов, что означает, что любое событие, происходящее с почтовым ящиком пользователя, не регистрируется. Чтобы включить это для одного пользователя или всего сайта, вы должны сделать это с помощью команд PowerShell.

Как войти в свой клиент с помощью PowerShell

На локальном компьютере откройте Windows PowerShell и выполните следующую команду.

$ UserCredential = Get-Credential

В диалоговом окне Запрос учетных данных Windows PowerShell введите имя пользователя и пароль для учетной записи глобального администратора Office 365, а затем нажмите кнопку ОК .

Запустите следующую команду.

$ Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $ UserCredential –Authentication Basic -AllowRedirection

Запустите следующую команду.

Import-PSSession $ Session

Как включить ведение журнала аудита почтовых ящиков

После подключения к Exchange Online через PowerShell вы можете использовать одну из следующих двух команд, чтобы включить аудит для одного почтового ящика или аудит для всей организации.

В этом примере включается ведение журнала аудита почтовых ящиков для почтового ящика Джона Смита.

Набор-Почтовый ящик-Идентичность «Пилар Пинилла» -AuditEnabled $ true

В этом примере включается ведение журнала аудита почтовых ящиков для всех пользовательских почтовых ящиков в вашей организации.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq «UserMailbox»} | Set-Mailbox -AuditEnabled $ true

Укажите действия для аудита

Как объясняет Microsoft, при включении аудита для почтового ящика по умолчанию включается только одно действие. Это параметр UpdateFolderPermissions . Чтобы включить различные действия владельца в почтовом ящике, вам нужно будет использовать таблицу ниже, чтобы определить, что требуется.

Действие Описание Admin Delegate *** Owner Copy Сообщение было скопировано в другую папку. Да Нет Нет Создать Элемент создается в папке «Календарь», «Контакты», «Примечания» или «Задачи» в почтовом ящике; например, создается новый запрос на собрание. Обратите внимание, что создание, отправка или получение сообщения не проверяются. Кроме того, создание папки почтового ящика не проверяется. Да * Да * Да FolderBind Доступ к папке почтового ящика. Это действие также регистрируется, когда администратор или делегат открывает почтовый ящик. Да * Да ** Нет HardDelete Сообщение было удалено из папки «Элементы для восстановления». Да * Да * Да MailboxLogin Пользователь вошел в свой почтовый ящик. Нет Нет Да MessageBind Сообщение было просмотрено на панели предварительного просмотра или открыто. Да Нет Нет Переместить Сообщение было перемещено в другую папку. Да * Да Да MoveToDeletedItems Сообщение было удалено и перемещено в папку «Удаленные». Да * Да Да SendAs Сообщение было отправлено с использованием разрешения SendAs. Это означает, что другой пользователь отправил сообщение, как будто оно пришло от владельца почтового ящика. Да * Да * Нет SendOnBehalf Сообщение было отправлено с использованием разрешения SendOnBehalf. Это означает, что другой пользователь отправил сообщение от имени владельца почтового ящика. В сообщении указывается получателю, кому сообщение было отправлено от имени и кто фактически отправил сообщение. Да * Да Нет SoftDelete Сообщение было окончательно удалено или удалено из папки «Удаленные». Удаленные объекты перемещаются в папку «Элементы для восстановления». Да * Да * Да Обновить Сообщение или его свойства были изменены. Да * Да * Да UpdateCalendarDelegation Делегирование календаря было назначено почтовому ящику. Делегирование календаря дает другому лицу в той же организации разрешения на управление календарем владельца почтового ящика. Да * Нет Да * UpdateFolderPermissions Разрешение папки было изменено. Права доступа к папкам определяют, какие пользователи в вашей организации могут получить доступ к папкам в почтовом ящике и сообщениям, расположенным в этих папках. Да * да * да *

В следующем примере PowerShell показано добавление действий владельца MailboxLogin и HardDelete в один почтовый ящик. Эти команды будут работать, только если для этого почтового ящика уже включен аудит почтовых ящиков.

Set-Mailbox «Джон Смит» -AuditOwner @ {Add = «MailboxLogin», «HardDelete»}

В следующем примере PowerShell показывает, как добавить действия владельца MailboxLogin , HardDelete и SoftDelete во все почтовые ящики в вашей организации.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq «UserMailbox»} | Set-Mailbox -AuditOwner @ {Add = ”MailboxLogin”, ”HardDelete”, ”SoftDelete”}

Наконец, чтобы подтвердить, что вы успешно включили аудит почтового ящика, вы можете запустить команду PowerShell для получения настроек аудита.

Get-Mailbox «Джон Смит» | ФЛ Аудит *

Чтобы проверить всех пользователей:

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq «UserMailbox»} | ФИО Имя, Аудит *

Когда результат повысится, убедитесь, что свойство AuditEnabled показывает True .

Как отключить аудит почтовых ящиков

Если по какой-либо причине вам необходимо отключить аудит почтовых ящиков для учетной записи электронной почты, вы можете использовать команду PowerShell ниже.

Set-Mailbox -Identity <идентификатор почтового ящика> -AuditEnabled $ false

Как искать в журналах аудита

После включения аудита вы можете войти в свой клиент Office 365 и перейти в Центр обеспечения безопасности и соответствия требованиям . На этом портале вы найдете опцию, которая называется Audit Log Search . Оттуда вы можете найти отчеты, подобные тем, что на скриншоте ниже.

Вы заметите, что имена отчетов точно совпадают с именами в таблице действий владельца, которую я предоставил ранее. Для сравнения действий с отчетами один на один вы можете использовать таблицу ниже

Активность в журнале аудита. Действие аудита почтового ящика. Создание элемента почтового ящика. Создание скопированных сообщений в другой папке. Копирование пользователя, вошедшего в почтовый ящик. MailboxLogin. Отправленные сообщения с использованием разрешений «Отправить от имени». SendOnBehalf. Переместить отправленное сообщение с использованием разрешений «Отправить как». «Обновление удаленных сообщений из папки« Удаленные »SoftDelete».

Обратите внимание, что если почтовый ящик пользователя не включен для определенного действия владельца, вы не сможете запустить требуемый отчет.

Как экспортировать журнал аудита почтовых ящиков

  1. В центре администрирования Exchange (EAC) выберите Управление соответствием > Аудит .
  2. Нажмите Экспорт журналов аудита почтовых ящиков .
  3. Настройте следующие критерии поиска для экспорта записей из журнала аудита почтовых ящиков:
    • Даты начала и окончания Выберите диапазон дат для записей, включаемых в экспортируемый файл.
    • Почтовые ящики для поиска в журнале аудита Выберите почтовые ящики для получения записей журнала аудита.
    • Тип доступа, не принадлежащего владельцу. Выберите один из следующих параметров, чтобы определить тип доступа, не принадлежащего владельцу, для получения записей:
      • Все не владельцы Поиск доступа администраторами и делегированными пользователями в вашей организации, а также администраторами центров обработки данных Microsoft в Exchange Online.
      • Внешние пользователи Поиск доступа администраторами центра данных Microsoft.
      • Администраторы и делегированные пользователи Поиск доступа администраторов и делегированных пользователей внутри вашей организации.
      • Администраторы Поиск доступа администраторов в вашей организации.
    • Получатели Выберите пользователей для отправки журнала аудита почтовых ящиков.
  4. Нажмите Экспорт .

Microsoft Exchange извлекает записи в журнале аудита почтовых ящиков, которые соответствуют вашим критериям поиска, сохраняет их в файл с именем SearchResult.xml, а затем прикрепляет файл XML к сообщению электронной почты, отправляемому указанным вами получателям.

Как просмотреть журнал аудита почтовых ящиков

  1. Войдите в почтовый ящик, куда был отправлен журнал аудита почтовых ящиков.
  2. В папке «Входящие» откройте сообщение с вложенным файлом XML, отправленное Microsoft Exchange. Обратите внимание, что тело сообщения электронной почты содержит критерии поиска.
  3. Нажмите на вложение и выберите, чтобы загрузить файл XML.
  4. Откройте SearchResult.xml в Microsoft Excel.

Статьи Microsoft

https://support.office.com/en-us/article/enable-mailbox-auditing-in-office-365-aaca8987-5b62-458b-9882-c28476a66918#ID0EABAAA=Step-by-step_instructions

https://technet.microsoft.com/library/jj150552(v=exchg.150).aspx

https://technet.microsoft.com/en-us/library/dd638114(v=exchg.150).aspx