新しい高価値監査レコードは、Microsoft Teams会議の詳細をキャプチャ
Microsoft 365 の高度な監査の新しい監査イベント
2020年3月、 マイクロソフトは、 アクセスされたアイテム 監査イベントが利用可能.これは最初の 高価値の Microsoft 365 監査イベント 法医学捜査官がセキュリティや内部イベントに対応したときに何が起こったかの詳細を得るのを助けるために設計されています。これで、最初の価値の高いチームの監査情報が 会議の詳細 そして ミーティング参加者詳細 イベント。メッセージ センター通知 MC298031 (2021 年 11 月 13 日) によると、イベントはテナントで利用可能になりました。
会議が発生すると、チームは 1 つのログを記録します。 会議の詳細 イベントを使用して、開始時刻や終了時刻など、会議に関する基本的な情報を取得します。チームも別々にログを記録します ミーティング参加者詳細 会議に参加するユーザー (ゲストを含む) またはアプリケーション (記録ボットなど) のイベント。会議が数回開始および停止した場合、チームは監査イベントのセットを個別にキャプチャします。
ライセンスと出力
重要なことは、ユーザーが高度な監査に必要なライセンスを持っている場合にのみ、チームがこの監査データをキャプチャすることです。 Office 365 E5 とその他のマイクロソフト 365 製品の一群 高度な監査を含む。Office 365 E3 および下位プランは使用できません。
少なくとも、それは物事が起こるべき方法です。テナントにはいくつかの E5 ライセンスがありますが、Teams 会議でキャプチャされた監査データは、予想どおりには発生しません。まず、会議の終了後に他のチームがイベントを監査するほど、レコードが表示されません。これは、バックグラウンドプロセスが会議情報を検索し、会議が終了してからしばらくしてイベントを生成するためだと思います。少なくとも、監査レコードの作成日は、会議のスケジュールされた時刻の数時間後です。これは、会議が終了したことを確認するために行われる場合もありますが、会議が発生したときに追跡する際に監査イベントの作成時間を無視する必要があることを意味します。また、予想どおり、2 つのイベントでキャプチャされた情報も異なるので、監査ペイロードを解析するために注意が必要です。
監査レコードを満たすレポート チーム
いずれにしても、チーム会議の監査レコードを検索して解析する方法を説明するスクリプトを作成しました。できます GitHub からスクリプトをダウンロードする.コードは単純です:
- レコードを検索する期間を設定します。私は最後の30日間を探します。チームが会議の監査レコードをキャプチャする前に Office 365 E5 以上が必要であるため、最大 365 日までさかのぼることができます。
- を実行します。 検索統一監査ログ コマンドレットを使用して、チーム会議の監査レコードを検索します。
- 各監査レコードを解析して、そのペイロードから情報を抽出します。を使用する 取得-AzureADUser 会議の開催者と参加者のためにキャプチャされた識別子を解決するコマンドレット。
- PowerShell リストにデータを挿入します。
- すべてのレコードを処理した後、CSV ファイルを生成します。
参加者レコードの処理後 (ミーティング参加者詳細)は、このように見えます。監査レコードに記録された日付は、その人が会議に出席した後に十分に行われたことがわかります。
Date : 09/12/2021 01:55:48 User : Jack.Smith@office365itpros.com MeetingId : 87109282-1c08-4272-834b-16d6b9defa01 MeetingType : ScheduledMeeting Start : 08/12/2021 17:33 End : 08/12/2021 17:37 User Time : 00:03:53 Role : 1 DetailId : 87109282-1c08-4272-834b-16d6b9defa01 Artifacts : UserInfo : SkypeSpaces/1415/1.0.0.2021120320/os=windows; osVer=10; deviceType=computer; browser=chrome; browserVer=96.0/TsCallingVersion=2021.42.01.1/Ovb=1c67ad38b440f3c30eadde98e59d505b1dd1c056 Type : Participant Operation : MeetingParticipantDetail
会議レコードの間 (会議の詳細)は次のようになります。
Date : 09/12/2021 01:55:48 User : Sean.Landy@office365itpros.com MeetingId : 87109282-1c08-4272-834b-16d6b9defa01 MeetingType : ScheduledMeeting Start : 08/12/2021 17:33 End : 08/12/2021 17:37 MeetingTime : 00:03:53 Organizer : Sean Landy Modalities : Audio MeetingURL : teams.microsoft.com/l/meetup-join/19%3ameeting_MGRlYWRlMzctM2ViMC00OGUyLTg3NzAtMDc1MjdiZGU0MjBm%40thread. v2/0?context=%7b%22Tid%22%3a%22b662313f-14fc-43a2-9a7a-d2e27f4f3478%22%2c%22Oid%22%3a%2208dda855-5dc3-4fd c-8458-cbc494a5a774%22%7d Type : Meeting Operation : MeetingDetail
コードは、テナントに表示される監査レコードに対して機能します。これらのレコードでキャプチャされた監査データのすべての順列をコードが処理することを証明することはできませんが、コードでは比較的単純な PowerShell を使用するため、他の条件を処理するようにコードを修正することが可能です。
調査は監査記録の価値を証明する
私は、チーム会議の監査記録でキャプチャされた情報が高い価値があると完全には確信していません。得られる基本的な知識は、誰かが一定の期間、会議の開催者がダウンロードできる出席レポートに既に含まれている情報に出席したということです。会議のタイトルなど、見たければいくつかの情報が欠けています(会議の URL は利用できるため、Graph API 呼び出しは会議のタイトルを見つけることができます)。
特に、他のユーザーが予定表からすべてのトレースを削除して非表示にしようとする会議の場合は、調査担当者に関心のある他のレコードと共に監査ログから情報を検索して取得できる利点があります。時間は、調査担当者が自分の仕事に役立つチーム会議の監査レコードでキャプチャされた情報を見つけたかどうか、および彼らがデータを使用する方法を教えてくれます。覚えておいてください チームは、隠された L でウェビナーの出席データを格納します。istsこれらのイベントが調査に関与している場合は、イベントに参加した人を知るためにそこに行く方が良いでしょう。
Office 365 アプリケーション内に表示される変更について、サブスクリプションを作成して、その変更に驚かないようにしてください。 IT 担当者向け Office 365 電子書籍。毎月の更新は、私たちの加入者が常に情報を得られるようにします。
関連
ディスカッション
コメント一覧
まだ、コメントがありません