SharePoint オンライン共有イベントの監査レコードを分析する方法

SharePoint オンライン共有イベントの監査レコードを分析する方法 [ad_1]

共有が発生した場合の把握

実装に関する議論から流れる自然な質問 外部ユーザーの SharePoint オンライン期限切れアクセス ポリシー は、ユーザーがこの機能を使用しているかどうかを管理者が認識する方法です。当然のことながら、最初に見るのは Office 365 または “統合された" 監査ログで、ユーザーが共有リンクを拡張するときに SharePoint Online が役に立つイベントを生成するかどうか確認します。

不幸なことに、SharePoint オンラインは ユーザーの有効期限が変更されました 監査イベントは、だれかが共有リンクを期限切れに近づけたとき、そのイベントに保存された情報だけでは、共有リンクがアクセスを許可するコンテンツを簡単に識別するのに十分ではありません。以下に示すサンプル監査イベントを見ると、 サイトUrl プロパティは、このイベントがビジネス コンテンツの OneDrive の共有に関連していることを示します。それとは別に、私たちは見ることができます:

  • 共有リンクの有効性を拡張するユーザーのユーザー プリンシパル名 (Jane.Sixsmith@office365itpros.com)。
  • アクセスを許可されるターゲット ユーザーのユーザー プリンシパル名 (Jsmith_yandex.com#ext#@office365itpros.onmicrosoft.com)。フォームは、これがゲスト アカウントであることを示します (JSmith@yandex.com)。

共有されている実際のフォルダやドキュメントの名前が取得された場合は、この方法が使用されますが、実際には取得できません。

RecordType   : SharePointSharingOperation
CreationDate : 15/11/2021 13:17:04
UserIds      : Jane.Sixsmith@office365itpros.com
Operations   : UserExpirationChanged
AuditData    : {
                 "AppAccessContext": {
                   "AADSessionId": "bfe559aa-a811-488b-828d-a1fa90062133",
                   "CorrelationId": "b45e03a0-50df-3000-73a8-a6b7cbd31cc0"},
                 "CreationTime": "2021-11-15T13:17:04",
                 "Id": "5ee7b4d0-97ca-476d-c7ef-08d9a83a37aa",
                 "Operation": "UserExpirationChanged",
                 "OrganizationId": "a562313f-14fc-43a2-9a7a-d2e27f4f3478",
                 "RecordType": "SharePointSharingOperation",
                 "UserKey": "i:0h.f|membership|1003bffd805c87b0@live.com",
                 "UserType": "Regular",
                 "Version": 1,
                 "Workload": "OneDrive",
                 "ClientIP": "51.171.212.129",
                 "ObjectId": "https://office365itpros-my.sharepoint.com/personal/jane_sixsmith_office365itpros_com",
                 "UserId": "jane.sixsmith@office365itpros.com",
                 "CorrelationId": "b45e03a0-50df-3000-73a8-a6b7cbd31cc0",
                 "EventSource": "SharePoint",
                 "ItemType": "Web",
                 "Site": "cc191cff-670a-4740-8458-e6067537c747",
                 "UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36 Edg/95.0.1020.44",
"WebId": "551065f1-04a6-4979-8b19-2c8a0c16319f",
                 "TargetUserOrGroupType": "Guest",
                 "SiteUrl": "https://office365itpros-my.sharepoint.com/personal/jane_sixsmith_office365itpros_com",
                 "TargetUserOrGroupName": Jsmith_yandex.com#ext#@office365itpros.onmicrosoft.com

SharePoint 共有イベントの調査

リンクできる他の情報を見つけることが可能かどうかを確認するには、 ユーザーの有効期限が変更されました イベントを他の共有イベントに戻し、監査ログからイベントを抽出してその内容を解析するスクリプトを作成しました。結果は私が望んでいたものではありません。アイテムの共有の進行状況を追跡できます。

  • 共有セット: ユーザーがアイテムを共有します。
  • セキュアリンク作成: アイテムの共有リンクが作成されます。これは受信者に送信されます。
  • ユーザーの有効期限が変更されました: 共有リンクの有効期限はポリシーに従って調整されます。
  • セキュアリンク使用済み: 受信者は共有リンクを使用して共有コンテンツにアクセスします。

最初の 3 つのイベントの監査レコードは、(ミリ秒単位で) 近くで発生するため、同じ日時を持つことがよくあります。このため、レポートを表示すると、別の順序で表示できます (図 1)。

SharePoint オンライン共有イベントの分析
図 1: SharePoint オンライン共有イベントの分析

やがて、共有リンクの有効性がさらに拡張されると、SharePointは別のログに記録します。 ユーザーの有効期限が変更されました 出来事。共有リンクの有効期限が切れるまで、サイクルは継続されます。

スクリプトのダウンロード

スクリプトはそれほど面白くありません。関連する監査イベントを検出し、情報を抽出し、その結果を報告します(ダウンロード可能 GitHub からのスクリプト).あなたが焦点を当てない限り ユーザーの有効期限が変更されました 共有リンクの最初の作成の外で起こるイベントは、私はそれが共有リンクの拡張子の程度を理解するという点ではあまり役に立たないと思います。しかし、私よりも賢い人は、より良い結果を導き出すためにスクリプトを微調整することができるかもしれません。

Office 365 が実際にどのように機能するかについては、サブスクリプションを作成してください。 IT 担当者向け Office 365 電子書籍。毎月の更新プログラムでは、Office 365 エコシステム全体で重要な情報を購読者に通知します。

[ad_2]

未分類

Posted by admin