SharePoint と OneDrive の削除イベントのマイクロソフト 365 監査ログを検索する方法

SharePoint と OneDrive の削除イベントのマイクロソフト 365 監査ログを検索する方法 [ad_1]

そのドキュメントを削除したユーザー

Microsoft 365 監査ログの多くの検索は、質問に答えようとしています。良い例は ログを検索して、電子メール削除の監査イベントを検出します をクリックして、"共有メールボックス内の特定のメッセージを削除したユーザー" のような質問に答える

SharePoint オンラインとビジネス向け OneDrive の同等の質問は、「誰がそのドキュメントを削除したのか」ということです。ビジネス アカウントの OneDrive の削除は、個々のユーザーの管理下にある個人用ストレージであるため、あまり気にしない場合があります。SharePoint Online サイト、特に、Microsoft 365 グループ のメンバーシップ モデルの単純さがすべてのメンバーがグループ データに等しいアクセスを持つことを義務付けるMicrosoft Teamsおよび Outlook グループで使用されるサイトは、同じことは当てはまらない場合があります。一言で言えば、チームやグループのメンバーはサイト内の任意のファイルを削除できます。

削除プロセス

を介して削除されたアイテムをルーティングします。 2 段階のごみ箱プロセス.すべてのグループ メンバーは、最初のステージのごみ箱からアイテムを回復できます。アイテムは、最初の段階のごみ箱に 30 日間残り、その後、第 2 段階に移動します。グループ管理者 (所有者) だけが、2 番目の段階のごみ箱に到達した後にアイテムを回復できます。 元の削除から 93 日をクリックすると、SharePoint Online はアイテムを完全に削除し、取り返しのつかない状態になります。つまり、SharePoint Online が保持ラベルを持っているか、保持ポリシーの範囲内に収まるため、ファイルを保持する必要がない限りです。その場合、SharePoint Online は、保持期間が経過するまで、サイト保存保持ライブラリにファイルのコピーを保持します(ユーザーが保持ラベルを持つファイルを削除できることは、最近の変更です).

Microsoft 365 監査ログのアイテムの削除に関してキャプチャされた監査レコードは、多くの場合、ユーザーの操作の結果です。つまり、フォルダ内のドキュメントを選択して削除します。SharePoint オンライン (ビジネス向け OneDrive を含む) は、 ファイル削除済み これが発生するとイベントが発生します。ただし、他のプロセスでは、次のような項目を削除できます。

  • サイトに適用されるアイテム保持ポリシーは、設定された期間の後にアイテムを削除します。
  • 管理者がユーザー アカウントを削除し、SharePoint システム アカウントは、ユーザーのビジネス アカウントの OneDrive から項目を削除します。

ユーザーはサイトのごみ箱にアクセスし、そこからアイテムを削除できます。多くの場合、これは無邪気な活動ですが、誰かが見つけたくないアイテムを削除したいという証拠にもなります。第 1 段階のごみ箱からアイテムを削除すると、SharePoint Online は ファイル削除ファーストステージリサイクラービ場 監査イベント。アイテム保持ポリシーでは、ごみ箱を形成するアイテムを削除することもできます。サイト管理者だけが、第 2 段階のごみ箱内のアイテムにアクセスできます (図 1)。第 2 段階のごみ箱からアイテムを削除すると、SharePoint オンラインは ファイル削除セカンドステージリサイクラービプ 監査イベント。

不審な空のサイトのごみ箱。たぶん、管理者は第二段階をチェックする必要があります.
図 1: 不審な空のサイトのごみ箱。たぶん、管理者は第二段階をチェックする必要があります.

要約すると、SharePoint Online は、アイテムがサイトのごみ箱を移動して完全削除に移行すると、監査イベントを生成します。削除はユーザーが開始する場合が多いが、システム プロセスの結果である可能性があります。Microsoft 365 監査ログは、監査レコードが発生した約 15 分間を取得し、レコードがログに記録されると、イベントを検索してレポートすることができます。 検索統一監査ログ コマンドレット。

もちろん、Microsoft 365 コンプライアンス センターの監査ログ検索機能を使用してこれらのイベントを検索することもできますが、処理する監査イベントの量と、何が起きたかを理解するために情報を分析する必要がある場合は、通常 PowerShell を使用することをお望めします。

SharePoint オンライン削除イベントの検索

プロセスを説明するために、私は、あなたができるスクリプトを作成しました GitHub からダウンロード.スクリプトは非常に簡単です:

  • 検索パラメータを設定します(90日間の検索期間を使用しました。
  • 3 つの削除イベントを検索します。
  • を調べる 監査データ 各レコードのペイロードを取得し、関連情報を抽出します。
  • 結果を操作と日付で並べ替え、CSV ファイルにエクスポートします。また、結果を出力する アウトグリッドビュー 見つかった内容を見やすくするために、コマンドレット (図 2) を使用します。

コードは PowerShell なので、必要に応じて変更できます。

ビジネス ファイルの削除の SharePoint オンラインと OneDrive のレポート
図 2: ビジネス ファイルの削除の SharePoint オンラインと OneDrive のレポート

監査イベントの量を監視する

注意を払う必要がある 1 つの点は、大規模なテナントでの削除イベントの量です。ザ コマンドレットを検索します。 特別な処理を行わずに、最大 5,000 個の監査レコードを取得できます。さらにフェッチするには、次のいずれかを行う必要があります。

  • 複数の制限付き検索 (たとえば、毎日の検索) を実行して、5,000 レコードの制限内に収まる検索を分割します。
  • 設定 セッションコマンド パラメータ 検索統一監査ログ 宛先 戻るラージセット.これにより、検索で最大 50.000 レコードを返すことができます。データを並べ替える必要があります。

検索結果を外部リポジトリにエクスポートすると、有利な場合があります。多くの組織では、Microsoft 365 監査データをマイクロソフトよりも長く保持し (Office 365 E3 の場合は 90 日間、E5 の場合は 365 日間)、専用のログ アグリゲータ製品でよく見られる検索および分析機能を使用する必要があるため、この目的で Splunk を使用しています。のコピーをお持ちの場合は、 IT 担当者向け Office 365 電子ブック (レポート作成と監査の章)、あなたは読むことができます このディスカッションは、マイクロソフト 技術コミュニティで行います プロセスを理解する。

[ad_2]

未分類

Posted by admin