Администрирование Microsoft 365: настройка и настройка журналов и оповещений

Опубликовано: 10 Марта, 2023
Администрирование Microsoft 365: настройка и настройка журналов и оповещений

Наша серия статей об администрировании Microsoft 365 продолжается темой, которую игнорируют даже многие опытные ИТ-специалисты. Ведение журнала и настройка оповещений для локальной инфраструктуры — это хлеб с маслом для администраторов, но многие администраторы, похоже, забывают об этом в облаке при переходе на Microsoft 365. Примерно так же они забывают о резервных копиях. По умолчанию параметры ведения журналов и оповещений Microsoft 365 могут быть не совсем такими, как вы хотите. Ведение журнала настроено для вас, но оповещения не настроены. Я покажу вам некоторые из них, которые можно включить, а затем вы сможете создать свой собственный набор. (Чтобы узнать больше об администрировании Microsoft 365, перейдите по ссылкам в конце статьи.)

Хранение журнала аудита

Первое, что нужно знать, это какие журналы включены по умолчанию, а какие нет, и время хранения этих журналов. График ниже поможет в этом.

Срок хранения важен и, как видите, зависит от типа вашей лицензии. Таким образом, при оценке лицензирования хранение журналов является еще одним фактором, который необходимо учитывать.

Аудит почтовых ящиков

Аудит почтовых ящиков может быть включен или не включен. На самом деле это зависит от того, когда был создан ваш клиент. Чтобы убедиться, что он включен, выполните следующую команду в PowerShell. Вы хотите, чтобы все журналы Exchange были включены, так как данные в них важны для многих служб и приложений в Microsoft 365.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Set-Mailbox -AuditEnabled $true

Единый аудит

Если вы не включили аудит в своем арендаторе, вы должны увидеть блеклую желтую полосу, когда вы нажимаете Поиск журнала аудита в системе главного меню. Здесь будет удобная кнопка «Включить аудит», которую можно просто нажать.

Однако, если этого нет, вы также можете запустить эти команды PowerShell:

Enable-OrganizationCustomization Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Хорошо, отлично, теперь у нас включен аудит. Но нам также нужна политика хранения журналов аудита. Я называю это одной из скрытых кнопок Microsoft 365, потому что ее легко не заметить. Вот как его найти: Войдите в систему на protection.office.com, затем выберите Поиск, Поиск в журнале аудита и нажмите +, чтобы создать новую политику хранения. Используйте диаграмму, указанную в верхней части этой статьи, чтобы определить, как долго вы имеете право хранить журналы.

К сожалению, в графическом интерфейсе нет места для просмотра ваших политик хранения. Если вы хотите увидеть свои политики хранения, вам нужно запустить эту команду PowerShell. (Я думаю, что это большая оплошность со стороны Microsoft.)

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Настройка оповещений Microsoft 365

Теперь, когда у нас настроены оповещения, мы можем обратить внимание на мониторинг и оповещение о проблемах по мере их возникновения.

У Microsoft есть место в Твиттере, где они публикуют Центр сетевых операций (NOC) и уведомления о статусе службы. Я рекомендую вам щелкнуть значок колокольчика, чтобы эти оповещения были отправлены в текст или по электронной почте или в другое место, которое вы сразу заметите.

Чтобы настроить оповещения об активности в нашем собственном арендаторе, снова перейдите на страницу protection.office.com и разверните пункт меню «Оповещения». Затем нажмите «Политики предупреждений». Вы найдете довольно много новых настроенных предупреждений по умолчанию. Количество оповещений, настроенных для вас, будет зависеть от вашего уровня лицензирования. В приведенном ниже списке звездочки (*) означают наличие предупреждений по умолчанию, доступных на более высоких уровнях лицензирования.

  • Подозрительный шаблон отправки электронной почты
  • Повышение до администратора биржи
  • Кто-то запустил eDiscovery
  • Кто-то создал правило переадресации электронной почты
  • Электронная почта пользователя заблокирована из-за подозрительной активности
  • ZAP-фильтр удалил сообщение после доставки
  • Сообщения застряли в очереди
  • Весь арендатор ограничен в доступе к электронной почте
  • *Вредоносная кампания обнаружена и заблокирована
  • *Пользователь сообщил об электронной почте как о фишинге или вредоносном ПО.
  • *Необычный объем удаления файлов
  • * Необычная активность внешних файлов
  • *Вредоносное ПО обнаружено в SharePoint или OneDrive
  • Отправка администратором завершена (вредоносное ПО)
  • Пользователь превысил лимит электронной почты
  • * Необычное количество фишинга
  • *Необычный объем обмена файлами с внешними пользователями)
  • Клиенту запрещено отправлять неподготовленную электронную почту
  • * Был нажат вредоносный URL

Создание настраиваемых оповещений Microsoft 365

Вы также можете настроить пользовательские оповещения. Нажмите кнопку политики «Новое оповещение», чтобы настроить первое оповещение. Небо — это почти предел деталей, которые вы можете выбрать для оповещения. Я покажу вам два, которые мне нравятся.

Первый отправляет предупреждение, когда новый компьютер начинает локально синхронизировать данные. Есть много причин, по которым синхронизация данных является нормальной деятельностью. Практически всем понадобится синхронизировать библиотеки документов SharePoint или данные OneDrive. Но мне нравится знать, какие компьютеры это делают. По мере того, как люди становятся более технически подкованными, обычный пользователь компьютера может решить, например, синхронизировать данные со своим домашним компьютером. Вероятно, это часто случалось, когда в этом году все начали работать из своих домашних офисов.

Чтобы настроить это оповещение, нажмите кнопку «Новая политика оповещений». Дайте вашему новому предупреждению описание. В данном случае «кто-то настроил новый компьютер». Решите, насколько серьезным для вас является это предупреждение. Категория оповещения важна, потому что она определяет, какие варианты у вас есть. Категория этого предупреждения — «предотвращение потери данных».

Вот где становится интересно. Тип действия, который нас интересует, — «Разрешить компьютеру синхронизировать файлы». Но, как вы увидите, у вас есть много вариантов. Просмотр их должен дать вам некоторые идеи для других политик предупреждений, которые вас интересуют.

Конкретная категория действий, которая нас интересует, находится в разделе операций синхронизации. В этом разделе у вас есть следующие варианты.

Тот, который нам нужен для этого предупреждения, — это Разрешено компьютеру синхронизировать файлы. Формулировка этого звучит как настройка разрешений, но на самом деле они выбрали синхронизацию некоторых данных SharePoint или OneDrive с компьютером.

Мы не собираемся делать это для этого оповещения, но вы увидите кнопку «Добавить условие», когда вы сможете, как говорится, добавить дополнительные условия для точной настройки оповещения и сделать его достаточно сложным, если захотите.

Наш следующий выбор — сообщить политике, как часто мы хотим получать оповещения. Вы можете выбрать каждый раз или установить некоторый уровень возникновения активности синхронизации. Если ваш уровень лицензирования позволяет, у вас может быть третий вариант — оповещение, когда активность становится необычной. При этом используется Microsoft Graph, который создает профиль каждого пользователя. Оповещение о действиях, выходящих за рамки нормы для каждого человека, является одним из мощных инструментов, разработанных Microsoft, чтобы помочь администраторам разобраться в этом шуме и сосредоточиться на том, что важно.

Единственное, что нам нужно сделать, это указать, куда отправлять оповещения, а затем сохранить политику.

Вторая политика предупреждений, которую я рекомендую, активируется надстройкой Outlook «Отчет по электронной почте». Эта надстройка позволяет пользователям информировать Microsoft и вас после настройки этого оповещения о том, что в их папку «Входящие» попало недопустимое электронное письмо. Это важно, поскольку позволяет администратору решить, нужно ли изменить настройки фильтрации электронной почты.

Если у вас есть расширенное лицензирование, это оповещение может быть уже настроено для вас, но для многих оно может быть не настроено. Я хотел указать на это предупреждение, потому что в нем есть второе условие. Это оповещение содержит два условия: тип действия и тип отправки.

Чтобы настроить это оповещение, вы будете следовать той же процедуре, что и выше, пока не получите раздел активности. В этом разделе вы выберете Электронная почта, отправленная пользователем, а затем выберите один из типов недопустимых электронных писем, о которых нужно получать оповещения. Продолжайте выбирать свои предпочтения для частоты предупреждений и пункта назначения.

Теперь, когда вы настроили хранение журналов аудита Microsoft 365 и набор политик для элементов в этих журналах, что дальше? Взгляните на Azure Sentinel. Это служба агрегации журналов, и вы можете бесплатно импортировать журналы и оповещения Microsoft 365 и работать с ними. Вы можете настроить оповещения и рабочие процессы в Sentinel, чтобы автоматически предпринимать действия и автоматизировать некоторые из ваших наиболее частых или серьезных ответов аудита.

Microsoft

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Миграция автономного клиента Office 365 на Exchange 2010 (часть 8)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 2)
13 Марта, 2023
Миграция автономного клиента Office 365 в Exchange 2010 (часть 7)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 1)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 6)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 11)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 5)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 10)
13 Марта, 2023