IT フォレンジックにおける Office 365 監査ログの重要性
Microsoft DART は Office 365 監査ログ (Unified Audit Log) を気に入っています。
9 月 26 日、マイクロソフトの検出および対応チーム (DART、別名、決して会いたくないサイバーセキュリティ チーム) は、セキュリティ、コンプライアンス、および ID ブログに Office 365 のフォレンジック成果物とその場所.これは、Azure AD サインイン イベント、Azure AD 管理者イベント、および Office 365 アクティビティ用にキャプチャされたデータの標準フローとオプション (追加の構成またはライセンスが必要) をキャプチャする優れた記事です (図 1)。このデータは、サイバーセキュリティインシデントで何が起こったのかを理解しようとするフォレンジック調査員にとって非常に役立ちます。

私の著作物の常連読者や、私が会議で話すのを聞いたことがある人は、Office 365 監査ログに対する私の高い評価をよく知っています。これはテナント内で何が起こるかについての素晴らしい情報源であり、すべての管理者が監査ログから情報を取得する方法に精通している必要があると思います。監査ログに戻って、Teams メッセージへの反応などの新機能についてどのようなデータがそこに表示されるかを確認し続けています。また、潜在的な違法な同意など、テナントに影響を与える可能性のあるアクションに関する詳細な情報を見つけるのにも役立ちます。
Office 365 データを SIEM に移動する
Office 365 監査ログの欠点は、データがあまり長くそこにとどまらないことです。Office 365 E5 プランのテナントでも、365 日間の情報しかアクセスできません。Office 365 E3 の場合、監査ログには 90 日間の情報のみが格納されます。さらに、Office 365 E3 テナントは、Exchange Online がメールボックス イベントを監査ログに送信するように、すべてのメールボックスの監査を有効にする必要があります。これは、マイクロソフトがすぐに閉じることを望んでいるギャップです。
SIEM は、監査データを長期間保持するのに適した場所です。マイクロソフトが指摘しているように、 Office 365 監査データを Microsoft Sentinel に取り込む.Sentinelへのデータ転送に使用されるコネクタは、選択したイベントにこだわっているため、すべてのデータが流れるわけではないため、これは注目すべきことです。それにもかかわらず、Sentinelは、Azureを使用する場合、監査データを保持するのに適した場所です。
他の SIEM プラットフォームに関しては、PowerShell の使用方法を示す多くの PowerShell の例が存在します。 Search-UnifiedAuditLog 監査イベントを取得するコマンドレット (ここでは、 一例).データを取得したら、リポジトリに送信するのは難しくありません。一部の SEIM には、より高度な取り込みメカニズムがあります。例えば Splunk は、登録済みの Azure AD アプリを使用して監査データを取得します。 それをリポジトリに持ってきてください。
検索パフォーマンスが低い
監査ログを検索する必要があるときはいつでも PowerShell を使用します。私はマイクロソフトが監査ログ検索用に構築したGUIを気に入ったことはありません。それは常に扱いにくく、柔軟性がなく、遅いことは言うまでもありません。その唯一の利点は、GUIが 監査データ 監査レコード内のペイロード。
したがって、私は新しいことについて示された熱意に驚いた 監査検索 GUI (プレビュー)。マイクロソフトによると、新しいGUIは次の改善を提供します。
- コンプライアンスポータル UI から開始された検索ジョブは、完了するために Web ブラウザーウィンドウを開いたままにしておく必要がなくなりました。これらのジョブは、ブラウザー・ウィンドウが閉じられた後も実行を継続します。
- 完了した検索ジョブが保存されるようになり、顧客は監査検索の履歴を参照できるようになりました。これらの検索ジョブは UI に表示され、検索名、検索ジョブの状態、進行状況、結果の数、作成時刻、および検索者が一覧表示されます。
- 各管理者監査アカウント ユーザーは、一度に最大 10 個の検索ジョブを進行中にすることができます。
私は過去27日間の単一の操作(誰かが文書の機密ラベルを変更する)のイベントを探す非常に簡単な検索で新しいGUIを試しました。この検索は、 Search-UnifiedAuditLog PowerShell のコマンドレットですが、新しい検索には 9 分 24 秒かかりました (図 2)。この種のパフォーマンスは、私の経験では普通ではありません。

PowerShell での同等の検索を次に示します。
Measure-Command { [array]$Records = Search-UnifiedAuditlog -Operations ComplianceSettingChanged -StartDate 1-Sep-2022 -EndDate 27-sep-2022 -Formatted -ResultSize 5000 } Days : 0 Hours : 0 Minutes : 0 Seconds : 2 Milliseconds : 470 Ticks : 24701589 TotalDays : 2.85898020833333E-05 TotalHours : 0.00068615525 TotalMinutes : 0.041169315 TotalSeconds : 2.4701589 TotalMilliseconds : 2470.1589
バックグラウンドで検索ジョブを作成および処理するためにいくらかのオーバーヘッドが予想されますが、このパフォーマンスの低下は並外れています両方のメソッドが同じデータソースに問い合わせることを考慮すると、 ary。監査検索でイベントが返される場合は、PowerShell でさらに多くの作業を行う必要がありますが、イベント ログを使用したことのある人なら誰でも、そのプロセスが明確に定義され、理解されているため、GUI (図 3) を使用してイベントの詳細を表示できるという利点は、監査ログになじみのないユーザーのみが評価している可能性があります。

低速インターフェイスは使用できません
新しい監査検索GUIは、コンテンツ検索インターフェイスの再設計について私に思い出させますが、これもその遅さとバグの性質に失望しました。マイクロソフトは2021年5月にその再設計を発表しましたが、まだ遅いです。私は彼らが新しい監査検索をプレビューから一般提供に持ち込むにつれて、彼らがより良い仕事をすることを願っています。そうでなければ、私は新しい監査検索インターフェースを使うことはないでしょう。
マイクロソフトDARTは、新しいインターフェイスが “大規模なデータ収集により、はるかにシンプルで信頼性が高くなります."しかし、その発言は「ここでの頼りになるアプローチは、PowerShellを使用して必要なデータを抽出することです."私はもっと同意することができませんでした。
Microsoft 365 が実際に継続的にどのように機能するかについて詳しくは、 IT プロフェッショナル向け Office 365 電子ブック。毎月の更新プログラムにより、サブスクライバーは Office 365 エコシステム全体で何が重要かを常に把握できます。
よろしければシェアお願いします
マイクロソフト、Outlook MonarchをOffice Insidersが利用できるように
この1つの見通しビルドは価値があります
2022年5月、マイクロソフトの新しいOne Outlook(「モナーク」)クライアントのリークされたビルドが登場しました。1週間ほど後、マイクロソフト Office Insiders Beta Channel のメンバーに公式ベータ版を提供.当時、私は Monarch を Exchange Online で利用できる OWA クライアントのややきれいなバージョンと呼んでいましたが、重要な機能が欠落していました。
リフレッシュ済み モナーククライアントは、すべてのオフィスインサイダーが利用できるようになりました.新しいモナークと数日間(そして何年ものOutlook)一緒に仕事をしたことに基づいて、それはまだ少しきれいなクライアントです。大きな違いは、新しいビルドは、特にデスクトップ Outlook ではなく OWA を使用することが好みの場合に、実際の日常業務に使用できることです。
マイクロソフトが強調した新機能
これは、マイクロソフトが宣伝している機能のせいではありません。私はMonarchをMicrosoft 365アカウントではなく、Microsoft 365アカウントで使用しています(OWAは私の消費者向け電子メールを処理するのに十分です)。現在のビルドはまだ1つのアカウントに制限されていますが、Microsoftは複数のアカウントのサポートが近づいていると述べています。クイック ステップを使用しないのは、電子メールのトリアージが単純であるためです: すぐに読んで保持または削除します。カレンダーがカレンダービューで現在の日により多くのスペースを与える方法が好きですが、約束どおりに列の幅を調整することができませんでした。すべての試みは、モナークが新しいイベントを作成しようとする結果となりました。たぶんそれは私だけです。
リボン バーをカスタマイズする機能が気に入ったのは (Archive フォルダーと呼ばれる行き止まりの通りにアイテムを移動するボタンをなくすことができたからです)。リボンがより洗練されたルックアンドフィールを持っていると思うかどうかはわかりませんが、美しさは見る人の目にあります。

機能の保持
ご想像のとおり、以前のビルドで登場した機能はまだそこにあります。これには、マイクロソフトが元のベータ版を発行した後、しばらくの間OWAとMonarchには登場しなかったLoopコンポーネントのサポートが含まれます。Loop の実装でも、送信者をメッセージの Cc 受信者として追加したり、Loop コンポーネントの共有リンクを読み取り専用に設定したり (図 2)、組織の共有ポリシー内のファイルやフォルダーに定義されている場合は、同様の奇妙さが見られます。

電子メールがコラボレーションの手段として使用されている場合、読み取り専用の共有リンクを送信することはほとんど意味がなく、OWA、Outlook for Windows、および Teams チャットで使用されるループコンポーネントに対して組織が別の共有リンクポリシーを実装できるようにする方法を Microsoft が考案することは確かに可能です。
マイクロソフトのブログ記事は、 “新しい Outlook 予定表ボード ビュー."これは、Outlook Spaces(Mocaプロジェクト)が前進しないことを決定した後、2021年7月からOWAで利用可能になっています。
この投稿では、 “への方法としてスイープも参照していますをクリックして、Outlook の受信トレイを整理します。" これは、OWAに登場した別の機能であり、その後、再登場する前にその機能を改善するためにより多くの作業を行うために水没しました。私はむしろSweepが好きです、なぜならそれは一度にたくさんのメッセージを取り除く簡単な方法だからです。サンプル メッセージ (図 3 では、Teams からの不在着信メッセージ通知) を選択し、ワンクリックで、クライアントは一致するすべてのメッセージを指定されたターゲット フォルダーに移動します (既定は[削除済みアイテム]です)。

即時移動以外のオプション (最新の状態に保ち、他のすべてを移動するなど) を使用することを選択した場合、Exchange Online は “スイープ ルール" を作成します。ルールは、Outlook 設定の[メール]セクションで使用できます。彼らはまた、実行することによって見ることができます スイープルールを取得 PowerShell コマンドレット。バックグラウンド プロセスでは、メールボックスで定義されているスイープ ルールが定期的に実行されるため、これらのルールによって管理されているメッセージが配信後すぐに消えるとは思わないでください。
もっと来る
OWA ユーザーは Monarch に簡単に切り替えることができますが、オフライン アクセスは、Outlook デスクトップ クライアントからの切り替えを検討するユーザーにとっては依然として大きなブロック要因です。オフライン アクセスは、Microsoft が今後数か月以内にリリースする予定の機能の一覧に含まれています。常に接続された世界でさえ、ネットワークの停止は起こります…そして、そのオフラインデータを操作することは非常に重要になる可能性があります。
dで最新の状態に保つOne OutlookとMonarchクライアントの開発のような、 IT プロフェッショナル向け Office 365 電子ブック。毎月の更新プログラムにより、サブスクライバーは Office 365 全体で発生する最も重要な変更を確実に理解できます。
ディスカッション
コメント一覧
まだ、コメントがありません