文書ラベルの不一致監査レコードの分析

文書ラベルの不一致監査レコードの分析

ドキュメントラベルの不一致と異なる優先度の機密ラベル

2 年前、マイクロソフトは SharePoint Online で機密ラベルのサポートを開始しました。これには、Office ドキュメントに割り当てられたラベルと、ファイルを格納するサイトに割り当てられたラベルの不一致を検出する機能が含まれています。この不一致は、ドキュメント ライブラリの優先度がサイト ラベルよりも高い場合に発生します。たとえば、機密性が高いというラベルの付いたドキュメントを[一般アクセス]というラベルの付いたサイトにアップロードしたり、サイト ラベルよりも優先度の高いラベルを割り当てるようにドキュメントを更新したりすることがあります。

ドキュメント ラベルの不一致は問題にならない場合があります。機密性の低い情報用に指定されたサイトに機密性の高い資料を保存することは、ユーザーが意図したとおりにすることができます。ただし、不一致は、サイトにアクセスできるユーザーが機密性の高い資料を見る可能性がある場合に、潜在的な問題を引き起こす可能性があります。実際には、ユーザーは必要な権限を持っていないためにファイルを開くことができない場合がありますが、タイトル、作成者などのファイル メタデータを表示できます。

不一致の監査レコード 重要なデータの欠落

ドキュメント ラベルの不一致を検出すると、SharePoint Online は ドキュメントの感度不一致が検出されました Office 365 (統合) 監査ログの監査レコード。監査レコードには、以下に関する情報が含まれています。

  • ファイル名。
  • サイトの URL と相対位置 (完全な URL)。
  • 機密ラベルとドキュメント ラベルの優先度。
  • 機密ラベルとサイト ラベルの優先順位。

不足している情報の大きな部分は、ドキュメント ラベルの不一致の原因となったユーザーのアカウント名 (ユーザー プリンシパル名) です。SharePoint Online が問題の原因を突き止めていないわけではありません。結局のところ、SharePoint Online は悪意のあるユーザーに問題に関する電子メール通知 (図 1) を送信し、ラベルの変更が必要かどうかを検討するよう促します。

ドキュメント ラベルの不一致に対する SharePoint Online 電子メール通知
図 1: ドキュメント ラベルの不一致に対する SharePoint Online 電子メール通知

不足しているユーザー情報への対処

ソリューションは他の監査データに存在します。他のユーザーがドキュメントを更新またはアップロードすると、SharePoint Online はアクションの監査イベントをキャプチャします。これらのイベントは、ユーザー情報をキャプチャします。その後、SharePoint は不一致を検出します。SharePoint Online はドキュメントをリストに格納し、リスト内の各アイテムには一意の識別子があります。識別子は、アップロードまたは変更の監査イベントにあります。また、SharePoint が不一致を検出したときに生成されるイベントにも含まれます。したがって、アップロード/変更イベントを参照して、不一致を作成したユーザーを見つけることができます。

この点を説明するために、私はPowerShellスクリプトを次のように書きました。

  • コンプライアンスエンドポイントに接続して、テナントで使用されるラベルに関する情報を収集します。
  • ラベル識別子と表示名のハッシュ テーブルを作成します。監査イベントはラベル識別子を記録するため、ハッシュ テーブルを使用して表示名を見つけることができます。
  • 監査ログで検索する ファイル更新, ファイル変更済みそして ドキュメントの感度不一致が検出されました イベント。スクリプトは過去 80 日間を振り返ります。の体積を考えると ファイル更新 テナントでよく見られるイベントは、この期間を短縮できます。
  • 監査レコードを、ドキュメントの不一致およびその他のイベントに関する監査レコードに分割します。
  • ドキュメントのアップロード イベントと変更イベントからリスト識別子とユーザー名で構成されるハッシュ テーブルを作成します。
  • ドキュメントの不一致イベントごとに、ハッシュ テーブルを検索してリスト識別子と照合し、不一致の原因となるユーザー名を返します。また、ドキュメントとサイトに割り当てられた機密ラベルをラベル表示名に解決します。
  • 結果を報告する。図 2 は、Out-GridView で見た一般的な結果を示しています。

完全なスクリプト GitHub から入手できます。.

PowerShell によって報告されたドキュメント ラベルの不一致の監査データ
図 2: PowerShell によって報告されたドキュメント ラベルの不一致の監査データ

Exchange Online メール フロー ルールを使用して SharePoint Online から送信されるメッセージをブロックして、ユーザーに独自の通知を送信できるようにする人もいます。スクリプトによって生成されたレポートデータを取得し、その情報を使用して適切なメッセージを作成して送信するのは簡単です。 Microsoft Graph PowerShell SDK の使用.

メール通知のブロック

SharePoint Online による電子メールの送信を停止して、ラベルの不一致についてユーザーに通知するにはes、テナント構成を更新できます。

Set-SPOTenant -BlockSendLabelMismatchEmail $True

この設定は、すべてのサイトに影響します。選択したサイトのラベルの不一致に関する通知メールをブロックすることはできません。電子メールをブロックすると、SharePoint Online は監査イベントを書き込んでドキュメント ラベルの不一致を記録することも停止します。Microsoft は、テナントが監査レコードの作成を停止せずに電子メールをブロックできるように、2 つのアクション間のリンクを解除する予定ですが、この更新プログラムの日付はありません。

監査ミステリー

マイクロソフトがなぜそれを決めたのかは謎です ドキュメントの感度不一致が検出されました ユーザー情報を含めるべきではありません、私はその決定に論理を見ませんが、あなたがそれについて知ったら、あなたは補償することができます。PowerShell は素晴らしいと思いませんか?

Microsoft 365 テナント管理者が利用できるデータを活用する方法については、 Office 365 for IT プロフェッショナル 電子ブック。私たちは物事がどのように機能するかを理解するのが大好きです。

未分類

Posted by admin