マイクロソフト、代理人送信アクションの監査ギャップを明らかに

マイクロソフト、代理人送信アクションの監査ギャップを明らかに

Exchange Online 監査データに関する 2 番目の大きな問題

5 月 19 日、Microsoft は Microsoft 365 メッセージ センター通知 MC382148 を公開し、委任された電子メール送信アクティビティの監査イベントの生成が 8 週間中断されたことを開示しました。マイクロソフトによると、2022年1月28日から3月26日まで。2022, “一部の監査ログ エントリは、[送信者]シナリオと[代理人の代わりに送信]シナリオで生成されませんでした."これらのイベントは、ユーザーが Exchange SendAs アクセス許可と SendOnBehalfOf アクセス許可を使用して他のメールボックスの電子メールを送信するときにキャプチャされます。

マイクロソフトは、根本的な原因は監査サービス内のロギングテレメトリの変更であると述べています。修正は今、 “このようなイベントが再び発生する可能性を最小限に抑え、今後の調査を迅速化します。."ただし、Exchange Online はイベントを生成しなかったため、Office 365 監査ログはデータを取り込むことはなく、情報はログにありません。マイクロソフトは、不足しているデータは回復不能であると言います。

Microsoft が Exchange Online イベントの Office 365 監査ログ (または統合監査ログ) への取り込みに関して長年の問題を抱えていたのはこれが初めてではありません。2018 年 9 月、開発者はグループ作成イベントの切り捨てられたデータに問題があることに気付きました。マイクロソフトは2019年5月までこの問題を解決しませんでした。

送信者イベントのチェック

現状を確認するために、 センダ 私のテナントのイベントを監査し、問題期間中に生成されたイベントを見つけました。また、過去にこれらのイベントについて報告するために使用したスクリプトを実行し、監査イベントでいくつかの「興味深い」情報を見つけました。Outlook Mobile を使用して 5 月 16 日に私が送信したメッセージの例を次に示します。

CreationTime          : 2022-05-16T11:03:47
Id                    : b5c89d0a-bb88-4620-6df9-08da372bc089
Operation             : SendAs
OrganizationId        : b662313f-14fc-43a2-9a7a-d2e27f4f3478
RecordType            : 2
ResultStatus          : Succeeded
UserKey               : 1003BFFD805C87B0
UserType              : 0
Version               : 1
Workload              : Exchange
ClientIP              : 2a01:b340:63:7141:a5cd:a160:e805:aae7
UserId                : Tony.Redmond@office365itpros.com
AppId                 : 27922004-5251-4030-b22d-91ecd9a37ea4
ClientIPAddress       : 2a01:b340:63:7141:a5cd:a160:e805:aae7
ClientInfoString      : Client=OutlookService;Outlook-iOS/2.0;
ClientRequestId       : 5009
ExternalAccess        : False
InternalLogonType     : 0
LogonType             : 2
LogonUserSid          : S-1-5-21-458367025-2064581115-2950179075-392557
MailboxGuid           : 0370f354-2752-4437-878d-cf0e5310a8d4
MailboxOwnerSid       : S-1-5-21-458367025-2064581115-2950179075-392557
MailboxOwnerUPN       : Tony.Redmond@office365itpros.com
OrganizationName      : Office365itpros.onmicrosoft.com
OriginatingServer     : DB7PR04MB4410 (15.20.4200.000)
SessionId             : 3431534d-331e-4924-b324-cbfa9cc55e24
Item                  : @{Id=LgAAAAAdhAMRqmYRzZvIAKoAL8RaDQA3tTkMTDKYRI6zB9VW59QNAAVriOkWAAAJ; InternetMessageId=<DB7PR04MB4410C9FC675493950D68FE668BCF9@DB7PR04MB4410.eurprd04.prod.outlook.com>; ParentFolder=;Sensitivity=2fe7f66d-096a-469e-835f-595532b63560; SizeInBytes=4428; Subject=Phone number}
SendAsUserMailboxGuid : 0370f354-2752-4437-878d-cf0e5310a8d4
SendAsUserSmtp        : Tony.Redmond@office365itpros.com

同じ値を持つ 3 つのプロパティ

この監査レコードの問題は、ユーザーが、 メールボックス所有者UPN、および SendAsUserSmtp プロパティはすべて同じ値を持ちます。代理人が別のユーザーを偽装してメッセージを送信すると、Exchange Online は代理人の名前を[ユーザー]プロパティと[メールボックス所有者UPN]プロパティに記録し、SendAsUserSmtp プロパティで偽装されたユーザーの SMTP アドレスをキャプチャします。3つのプロパティに同じ値を持つのは意味がありません。

監査ログ内の SendAs イベントを詳しく調べると、3 つのプロパティが同じ値を持つ複数のケースが明らかになりました。ほとんどのイベントは Outlook モバイル クライアントを使用して発生し、いずれの場合もメールボックスの所有者がメッセージを送信しました。メールボックスの所有者がメッセージを送信したため、Exchange Online がこのメッセージを SendAs イベントと見なす理由はありません。SendAs イベントとして誤ってログに記録されるすべてのメッセージに共通する特徴は、外部の受信者に宛てられたことです。

テストの結果、OWA および Outlook デスクトップ クライアントから送信者アクセス許可を使用して送信された代理人メッセージの監査イベントが正しい情報をキャプチャすることが明らかになりました。しかし、 Exchange Online メールボックス監査ログ、Outlook Mobile からの代理人アクセスを使用して送信されたメッセージは、Office 365 監査ログに表示されませんでした。

興味深いことに、SendAs イベントは、Windows 用 One Outlook クライアント (Monarch) のプレビュー バージョンからメールボックス所有者によって送信されたメッセージにも表示されました。このクライアントは、Outlookモバイルと同じMicrosoft同期テクノロジ接続を使用するため、おそらくそれが問題のあるところです。図 1 は、監査ログからの Exchange SendAs イベントを示しています。代理人ではなく所有者がメッセージを送信したインスタンスが強調表示されます。すべてのインスタンスは、Outlook Mobile または Monarch クライアントを使用しました。

Office 365 監査ログからの Exchange SendAs イベントの分析
図 1: Office 365 監査ログからの Exchange SendAs イベントの分析

要約すると、2つの問題が見つかりました。

  • を使用して送信されるメッセージ アクセスの委任 Outlook Mobile から Office 365 監査ログにキャプチャされません。
  • Exchange Online は、 メールボックスの所有者 Outlook Mobile および Outlook Monarch を Office 365 監査ログで[送信者]イベントとして使用している外部受信者に対して。.

少なくとも2022年2月にさかのぼるように見える奇妙な状況です。私たちは皆、監査ログのSendAsイベントの有効性を受け入れたので、誰も気付かなかったと思います。

Exchange SendAs 監査データで問題が解決しない

組織は監査データに依存して、テナント内で何が起こるかを把握します。委任電子メール アクションは、多くの場合、"誰がそのメッセージを送信したか" などの質問に答えるために調査され、コンプライアンス調査に重要な貢献をすることができます。

マイクロソフトは、切り捨てを修正するためにいくつかの試みが必要でしたd 2018-2019年の監査記録の問題。Exchange Online によって生成された監査イベントに関する長年の問題により、データが失われ、Outlook モバイル クライアントとモナーク クライアントによって生成された監査データに奇妙な結果が生じる別の例があります。クラウド時代のソフトウェアをテストすることは、確かに失われたスキルのようです。

このような洞察は簡単には得られません。テクノロジーを知り、舞台裏の見方を理解する必要があります。の知識と経験から利益を得る Office 365 for IT プロフェッショナル Office 365 とより広範な Microsoft 365 エコシステムをカバーする究極の電子書籍を購読することでチームを編成します。

未分類

Posted by admin