При навигации по Центру безопасности и соответствия требованиям Security & Compliance вы можете просматривать подробные отчеты для Office 365. Для доступа к отчетам разверните раздел отчетов Reports и выберите панель мониторинга Dashboard (экран 1).
.jpg) |
| Экран 1. Раздел отчетов Reports |
После того как откроется панель мониторинга, вы увидите, что сейчас она не содержит большого числа элементов (экран 2). Эта страница представляет собой просто заполнитель места для отчетов, которые будут доступны в дальнейшем. Чтобы запустить отчеты в центре безопасности и соответствия требованиям, выберите любой из четырех участков из раздела Search & Investigation («Поиск и исследование»), как показано на экране 3.
.jpg) |
| Экран 2. Панель мониторинга |
.jpg) |
| Экран 3. Содержимое раздела «Поиск и исследование» |
Наиболее часто используемый — Audit log search («Поиск по журналу аудита»), в котором приведены подробные сведения о том, что конечные пользователи могли делать на сайте (экран 4).
.jpg) |
| Экран 4. Поиск по журналу аудита |
В процессе поиска первый шаг — выбрать Activities («Действия»), которые вы хотите увидеть (экран 5).
.jpg) |
| Экран 5. Список действий |
Список действий очень обширный, он охватывает следующие категории операций:
- Действия с файлами и папками.
- Действия по общему доступу и запросам доступа.
- Действия по синхронизации.
- Действия по администрированию сайтов.
- Действия с почтовым ящиком Exchange.
- Действия Sway.
- Действия по администрированию пользователей.
- Действия по администрированию группы AD Azure.
- Действия по администрированию приложений.
- Действия по администрированию ролей.
- Действия по администрированию каталогов.
- Действия eDiscovery.
- Действия Power BI.
- Действия с группами Microsoft.
Как видите, список велик. Если мы выбираем категорию Directory administration activities («Действия по администрированию каталогов»), то будут выбраны все действия (экран 6).
.jpg) |
| Экран 6. Действия по администрированию каталогов |
Выбирая нужные действия, мы получаем возможность выполнять поиск на основе конкретного критерия и дат. Поиск возвращает данные о пользователе, который выполняет действие, а также обновляемый или изменяемый объект наряду с учетной записью, если она изменяется (экран 7).
.jpg) |
| Экран 7. Поиск на основе критерия и даты |
Поиск по журналу аудита — чрезвычайно эффективный, с его помощью администраторы могут углубляться в детали и инспектировать использование своего клиента Office 365.
Если требуется повысить гибкость поиска, то можно составить сценарий. Для этого воспользуйтесь командой Search-UnifiedAuditLog в следующем формате:
Search-UnifiedAuditLog -EndDate-StartDate [-Formatted ] [-FreeText ] [-IPAddresses ] [-ObjectIds ] [-Operations ] [-RecordType ] [-ResultSize ] [-SessionCommand ] [-SessionId ] [-UserIds ]
Дополнительные сведения можно найти в статье по адресу: https://technet.microsoft.com/en-us/library/mt238501(v=exchg.160).aspx
Возможность выполнять поиск очень удобна, лично я люблю строить фильтры и выполнять операции поиска, но еще лучше создавать их, а затем предупреждения на их основе. После создания синтаксиса операции поиска и выполнения поиска можно просто нажать кнопку + New alert policy («Политика новых предупреждений»). В результате на экране появится мастер для создания предупреждений, причем по умолчанию выбран тип предупреждения custom (настраиваемый), как показано на экране 8.
.jpg) |
| Экран 8. Создание нового предупреждения |
Действия заполняются заранее из синтаксиса операции поиска; вам назначается получатель, а затем можно выбрать конкретных пользователей для еще более глубокой фильтрации результатов. После того как это сделано, можно выполнить сохранение. После сохранения информация отображается в разделе Alerts («Предупреждения») центра безопасности и соответствия требованиям. Дополнительные сведения о поиске в журнале аудита можно получить на сайте Office.