IT フォレンジックにおける Office 365 監査ログの重要性

2022年10月6日

Microsoft DART は Office 365 監査ログ (Unified Audit Log) を気に入っています。

9 月 26 日、マイクロソフトの検出および対応チーム (DART、別名、決して会いたくないサイバーセキュリティチーム) は、セキュリティ、コンプライアンス、および ID ブログに Office 365 のフォレンジック成果物とその場所.これは、Azure AD サインインイベント、Azure AD 管理者イベント、および Office 365 アクティビティ用にキャプチャされたデータの標準フローとオプション (追加の構成またはライセンスが必要) をキャプチャする優れた記事です (図 1)。このデータは、サイバーセキュリティインシデントで何が起こったのかを理解しようとするフォレンジック調査員にとって非常に役立ちます。

私の著作物の常連読者や、私が会議で話すのを聞いたことがある人は、Office 365 監査ログに対する私の高い評価をよく知っています。これはテナント内で何が起こるかについての素晴らしい情報源であり、すべての管理者が監査ログから情報を取得する方法に精通している必要があると思います。監査ログに戻って、Teams メッセージへの反応などの新機能についてどのようなデータがそこに表示されるかを確認し続けています。また、潜在的な違法な同意など、テナントに影響を与える可能性のあるアクションに関する詳細な情報を見つけるのにも役立ちます。

Office 365 データを SIEM に移動する

Office 365 監査ログの欠点は、データがあまり長くそこにとどまらないことです。Office 365 E5 プランのテナントでも、365 日間の情報しかアクセスできません。Office 365 E3 の場合、監査ログには 90 日間の情報のみが格納されます。さらに、Office 365 E3 テナントは、Exchange Online がメールボックスイベントを監査ログに送信するように、すべてのメールボックスの監査を有効にする必要があります。これは、マイクロソフトがすぐに閉じることを望んでいるギャップです。

SIEM は、監査データを長期間保持するのに適した場所です。マイクロソフトが指摘しているように、 Office 365 監査データを Microsoft Sentinel に取り込む.Sentinelへのデータ転送に使用されるコネクタは、選択したイベントにこだわっているため、すべてのデータが流れるわけではないため、これは注目すべきことです。それにもかかわらず、Sentinelは、Azureを使用する場合、監査データを保持するのに適した場所です。

他の SIEM プラットフォームに関しては、PowerShell の使用方法を示す多くの PowerShell の例が存在します。 Search-UnifiedAuditLog 監査イベントを取得するコマンドレット (ここでは、一例).データを取得したら、リポジトリに送信するのは難しくありません。一部の SEIM には、より高度な取り込みメカニズムがあります。例えば Splunk は、登録済みの Azure AD アプリを使用して監査データを取得します。それをリポジトリに持ってきてください。

検索パフォーマンスが低い

監査ログを検索する必要があるときはいつでも PowerShell を使用します。私はマイクロソフトが監査ログ検索用に構築したGUIを気に入ったことはありません。それは常に扱いにくく、柔軟性がなく、遅いことは言うまでもありません。その唯一の利点は、GUIが 監査データ 監査レコード内のペイロード。

したがって、私は新しいことについて示された熱意に驚いた監査検索 GUI (プレビュー)。マイクロソフトによると、新しいGUIは次の改善を提供します。

コンプライアンスポータル UI から開始された検索ジョブは、完了するために Web ブラウザーウィンドウを開いたままにしておく必要がなくなりました。これらのジョブは、ブラウザー・ウィンドウが閉じられた後も実行を継続します。
完了した検索ジョブが保存されるようになり、顧客は監査検索の履歴を参照できるようになりました。これらの検索ジョブは UI に表示され、検索名、検索ジョブの状態、進行状況、結果の数、作成時刻、および検索者が一覧表示されます。
各管理者監査アカウントユーザーは、一度に最大 10 個の検索ジョブを進行中にすることができます。

私は過去27日間の単一の操作(誰かが文書の機密ラベルを変更する)のイベントを探す非常に簡単な検索で新しいGUIを試しました。この検索は、 Search-UnifiedAuditLog PowerShell のコマンドレットですが、新しい検索には 9 分 24 秒かかりました (図 2)。この種のパフォーマンスは、私の経験では普通ではありません。

プレビュー GUI での監査ログ検索のパフォーマンス低下

Office 365 監査ログ — 図2:プレビューGUIでの監査ログ検索のパフォーマンス低下

PowerShell での同等の検索を次に示します。

Measure-Command { [array]$Records = Search-UnifiedAuditlog -Operations ComplianceSettingChanged -StartDate 1-Sep-2022 -EndDate 27-sep-2022 -Formatted -ResultSize 5000 }


Days              : 0
Hours             : 0
Minutes           : 0
Seconds           : 2
Milliseconds      : 470
Ticks             : 24701589
TotalDays         : 2.85898020833333E-05
TotalHours        : 0.00068615525
TotalMinutes      : 0.041169315
TotalSeconds      : 2.4701589
TotalMilliseconds : 2470.1589

バックグラウンドで検索ジョブを作成および処理するためにいくらかのオーバーヘッドが予想されますが、このパフォーマンスの低下は並外れています両方のメソッドが同じデータソースに問い合わせることを考慮すると、 ary。監査検索でイベントが返される場合は、PowerShell でさらに多くの作業を行う必要がありますが、イベントログを使用したことのある人なら誰でも、そのプロセスが明確に定義され、理解されているため、GUI (図 3) を使用してイベントの詳細を表示できるという利点は、監査ログになじみのないユーザーのみが評価している可能性があります。

低速インターフェイスは使用できません

新しい監査検索GUIは、コンテンツ検索インターフェイスの再設計について私に思い出させますが、これもその遅さとバグの性質に失望しました。マイクロソフトは2021年5月にその再設計を発表しましたが、まだ遅いです。私は彼らが新しい監査検索をプレビューから一般提供に持ち込むにつれて、彼らがより良い仕事をすることを願っています。そうでなければ、私は新しい監査検索インターフェースを使うことはないでしょう。

マイクロソフトDARTは、新しいインターフェイスが “大規模なデータ収集により、はるかにシンプルで信頼性が高くなります."しかし、その発言は「ここでの頼りになるアプローチは、PowerShellを使用して必要なデータを抽出することです."私はもっと同意することができませんでした。

Microsoft 365 が実際に継続的にどのように機能するかについて詳しくは、 IT プロフェッショナル向け Office 365 電子ブック。毎月の更新プログラムにより、サブスクライバーは Office 365 エコシステム全体で何が重要かを常に把握できます。

未分類

Posted by admin

使用頻度の低い Azure AD アカウントの検出 (高価なライセンスを使用)

未分類

Microsoft 365 ライセンスレポートスクリプトを更新して、使用頻度の低いアカウントを見つける

2021 年 10 月に、Microsoft Graph PowerShell SDK を使用して Microsoft 365 テナントのライセンスレポートを作成する.このレポートには、各 Azure AD アカウントに割り当てられたライセンスと、それらのライセンスに対して無効になっているサービスプランが一覧表示されます。これは、テナントがライセンスコストを管理するのに役立つ貴重な情報です。

しかし、私たちはもっとうまくいくことができます。少なくとも、一部の読者はそう考えています。ユーザーが割り当てられたライセンスを使用しているかどうかを知りたいので、アクティブでないアカウントから高価なライセンスを削除できます。この問題に対処する 1 つの方法は、Microsoft 365 ユーザーアクティビティレポートスクリプトを使用して、Exchange Online でアクティブになっていないユーザーを識別することです。SharePoint Online、Teams、OneDrive for Business、および Yammer の過去 180 日間。このレポートには、アカウントが使用中かどうかの評価が既に含まれているため、アクティブでないユーザーを見つけてライセンスの削除を検討するだけです。

この問題のもう 1 つの解決策は、ライセンスレポートスクリプトを更新することです。これを行うには、スクリプトにいくつかの変更を加えました(更新されたバージョンは GitHub から入手可能).

ライセンスアカウントのフィルタリング

最初の変更は、 Get-MgUser コマンドレット。新しいフィルターは、ライセンスを持つメンバーアカウントのみを選択します。以前は、すべてのメンバーアカウントを選択していましたが、現在は使用頻度の低いライセンスアカウントを追いかけることに興味があります。ここに私が使用したコマンドがあります:

[Array]$Users = Get-MgUser -Filter "assignedLicenses/`$count ne 0 and userType eq 'Member'" -ConsistencyLevel eventual -CountVariable Records -All -Property signInActivity | Sort-Object DisplayName

適用先のフィルター Get-MgUser は、少なくとも 1 つのライセンスを持つ Azure AD メンバーアカウントを検索します。このコマンドは、 サインインアクティビティ 各アカウントのプロパティ。このプロパティは、アカウントの最後の対話型サインインと非対話型サインインの日時を保持します。アカウントのデータは次のようになります。

LastNonInteractiveSignInDateTime  : 27/09/2022 13:04:58
LastNonInteractiveSignInRequestId : bcd2d562-76f0-4d29-a266-942f7ee31a00
LastSignInDateTime                : 11/05/2022 12:19:18
LastSignInRequestId               : 3f691116-5e0a-4c4c-a3a9-aecb3ae99800
AdditionalProperties              : {}

最後の非対話型サインインは、OneDrive 同期クライアントによって実行される同期操作のようなものかもしれません。私は高価なライセンスを最大限に活用していないライセンスされたアカウントについて知りたいので、これらのサインインアクティビティにはあまり興味がありません。したがって、最後の対話型サインインのタイムスタンプに焦点を当てます。

アカウントのサインインからの計算

使用頻度の低いアカウントを検出するには、そのようなアカウントを認識する方法を定義する必要があります。わかりやすくするために、使用頻度の低いアカウントは、60 日以上対話的にサインインしていないアカウントであると定義しています。このカテゴリのアカウントは、Office 365 E3 ライセンスを保持している場合、月額 23 ドル、E5 ライセンスを割り当てられたアカウントは月額 38 ドルです。そして、それはアドオンライセンスを考慮に入れていません。月額$ 30で、未使用のアカウントが基準に合致した場合、すでに$ 60を支払っています。

私が使用するコードでは、アカウントで Azure AD サインイン情報が使用可能かどうか (つまり、アカウントが少なくとも 1 回サインインしているかどうか) を確認します。その場合は、最後の対話型サインインのタイムスタンプを抽出し、その時点からの日数を計算します。そうでない場合は、アカウントに適切なマークを付けます。

# Calculate how long it's been since someone signed in
  If ([string]::IsNullOrWhiteSpace($User.SignInActivity.LastSignInDateTime) -eq $False) {
    [datetime]$LastSignInDate = $User.SignInActivity.LastSignInDateTime
    $DaysSinceLastSignIn = ($CreationDate - $LastSignInDate).Days
    $LastAccess = Get-Date($User.SignInActivity.LastSignInDateTime) -format g
    If ($DaysSinceLastSignIn -gt 60) { $UnusedAccountWarning = ("Account unused for {0} days - check!" -f $DaysSinceLastSignIn) }
  }
  Else {
    $DaysSinceLastSignIn = "Unknown"
    $UnusedAccountWarning = ("Unknown last sign-in for account")
    $LastAccess = "Unknown"
  }

Azure AD がアカウントの最後の対話型タイムスタンプを更新するまでに数分かかる場合があることに注意してください。これは、キャッシュとサービスリソースを保持する必要性が原因である可能性があります。

使用頻度の低いアカウントの報告

最後の変更は、スクリプトが検出された未使用のアカウントの割合を報告するようになった出力ルーチンに対するものです。明らかに、この数値が数パーセントを超える場合は理想的ではありません。

私は通常、レポートの出力を アウトグリッドビュー データをチェックするコマンドレット。図 1 に、テナントからの出力を示します。使用頻度の低いアカウントがいくつか識別されますが、これはテナント内のテストと非運用環境の使用パターンを考えると、私が期待していることです。もう一つの利点 アウトグリッドビュー これは、ここに示すように、問題のある項目に焦点を当てるために情報を並べ替えるのが簡単であるということです。

図 1: ライセンスで使用頻度の低いアカウントを強調表示する

出力のカスタマイズ

スクリプトが PowerShell であることがわかると、組織の要件を満たすようにコードを簡単に調整できます。たとえば、アカウントが十分に活用されていないと見なす前に許容レベルが高い場合もあれば、より制限の厳しい場合もあります。レポートを部門に分割し、各部門で見つかった使用頻度の低いアカウントをマネージャーに送信してレビューしたいと考える人もいます。それはPowerShellなので、夢中になってデータをあなたのために働かせてください。

このような洞察力snは簡単には来ない。テクノロジーを知り、舞台裏を見る方法を理解する必要があります。の知識と経験から利益を得る IT プロフェッショナル向け Office 365 Office 365 とより広範な Microsoft 365 エコシステムをカバーする最高の電子ブックを購読してチームを組む。

未分類

Posted by admin

マイクロソフト、Outlook MonarchをOffice Insidersが利用できるように

未分類

この1つの見通しビルドは価値があります

2022年5月、マイクロソフトの新しいOne Outlook(「モナーク」)クライアントのリークされたビルドが登場しました。1週間ほど後、マイクロソフト Office Insiders Beta Channel のメンバーに公式ベータ版を提供.当時、私は Monarch を Exchange Online で利用できる OWA クライアントのややきれいなバージョンと呼んでいましたが、重要な機能が欠落していました。

リフレッシュ済みモナーククライアントは、すべてのオフィスインサイダーが利用できるようになりました.新しいモナークと数日間(そして何年ものOutlook)一緒に仕事をしたことに基づいて、それはまだ少しきれいなクライアントです。大きな違いは、新しいビルドは、特にデスクトップ Outlook ではなく OWA を使用することが好みの場合に、実際の日常業務に使用できることです。

マイクロソフトが強調した新機能

これは、マイクロソフトが宣伝している機能のせいではありません。私はMonarchをMicrosoft 365アカウントではなく、Microsoft 365アカウントで使用しています(OWAは私の消費者向け電子メールを処理するのに十分です)。現在のビルドはまだ1つのアカウントに制限されていますが、Microsoftは複数のアカウントのサポートが近づいていると述べています。クイックステップを使用しないのは、電子メールのトリアージが単純であるためです: すぐに読んで保持または削除します。カレンダーがカレンダービューで現在の日により多くのスペースを与える方法が好きですが、約束どおりに列の幅を調整することができませんでした。すべての試みは、モナークが新しいイベントを作成しようとする結果となりました。たぶんそれは私だけです。

リボンバーをカスタマイズする機能が気に入ったのは (Archive フォルダーと呼ばれる行き止まりの通りにアイテムを移動するボタンをなくすことができたからです)。リボンがより洗練されたルックアンドフィールを持っていると思うかどうかはわかりませんが、美しさは見る人の目にあります。

図 1: Outlook の[君主]リボンのカスタマイズ

機能の保持

ご想像のとおり、以前のビルドで登場した機能はまだそこにあります。これには、マイクロソフトが元のベータ版を発行した後、しばらくの間OWAとMonarchには登場しなかったLoopコンポーネントのサポートが含まれます。Loop の実装でも、送信者をメッセージの Cc 受信者として追加したり、Loop コンポーネントの共有リンクを読み取り専用に設定したり (図 2)、組織の共有ポリシー内のファイルやフォルダーに定義されている場合は、同様の奇妙さが見られます。

図 2: Outlook Monarch メッセージに挿入されたループコンポーネントの共有リンクの表示

電子メールがコラボレーションの手段として使用されている場合、読み取り専用の共有リンクを送信することはほとんど意味がなく、OWA、Outlook for Windows、および Teams チャットで使用されるループコンポーネントに対して組織が別の共有リンクポリシーを実装できるようにする方法を Microsoft が考案することは確かに可能です。

マイクロソフトのブログ記事は、 “新しい Outlook 予定表ボードビュー."これは、Outlook Spaces(Mocaプロジェクト)が前進しないことを決定した後、2021年7月からOWAで利用可能になっています。

この投稿では、 “への方法としてスイープも参照していますをクリックして、Outlook の受信トレイを整理します。" これは、OWAに登場した別の機能であり、その後、再登場する前にその機能を改善するためにより多くの作業を行うために水没しました。私はむしろSweepが好きです、なぜならそれは一度にたくさんのメッセージを取り除く簡単な方法だからです。サンプルメッセージ (図 3 では、Teams からの不在着信メッセージ通知) を選択し、ワンクリックで、クライアントは一致するすべてのメッセージを指定されたターゲットフォルダーに移動します (既定は[削除済みアイテム]です)。

図3:電子メールをスイープするオプション

即時移動以外のオプション (最新の状態に保ち、他のすべてを移動するなど) を使用することを選択した場合、Exchange Online は “スイープルール" を作成します。ルールは、Outlook 設定の[メール]セクションで使用できます。彼らはまた、実行することによって見ることができます スイープルールを取得 PowerShell コマンドレット。バックグラウンドプロセスでは、メールボックスで定義されているスイープルールが定期的に実行されるため、これらのルールによって管理されているメッセージが配信後すぐに消えるとは思わないでください。

もっと来る

OWA ユーザーは Monarch に簡単に切り替えることができますが、オフラインアクセスは、Outlook デスクトップクライアントからの切り替えを検討するユーザーにとっては依然として大きなブロック要因です。オフラインアクセスは、Microsoft が今後数か月以内にリリースする予定の機能の一覧に含まれています。常に接続された世界でさえ、ネットワークの停止は起こります…そして、そのオフラインデータを操作することは非常に重要になる可能性があります。

dで最新の状態に保つOne OutlookとMonarchクライアントの開発のような、 IT プロフェッショナル向け Office 365 電子ブック。毎月の更新プログラムにより、サブスクライバーは Office 365 全体で発生する最も重要な変更を確実に理解できます。

未分類

Posted by admin