Udostępnij za pośrednictwem


Exchange Online – o que esperar nas mudanças em Auditing

 

Por: Caio Ribeiro Cesar

 

Todas as informações neste artigo são visiveis em sites externos da Microsoft. Informações internas não serão divulgadas até a release do novo modelo de Auditing do Exchange Online e O365. Funcionalidades específicas podem ser alteradas a qualquer momento após o release do update.

 

Algumas pessoas já sabem, mas podemos utilizar o site https://success.office.com/en-us/roadmap para acompanhar as novidades do Office 365:

 

a) Launched – criamos, testamos e instalamos a solução no datacenter. Pode demorar um tempo para que o seu tenant possua o build com a atualização específica, porém a maioria dos tenants já possui a atualização.

b) Rolling Out - criamos, testamos e instalamos a solução no datacenter para alguns tenants.

c) In development – estamos criando e testando a solução para a atualização geral.

d) Cancelled – atualização cancelada.

e) Previously Released – updates instalados para todos os tenants.

 

Se fizermos um filtro em “audit”, temos o resultado abaixo

 

clip_image002

*Feito em 11 Nov 2015, o resultado irá variar de acordo com a data.

Ou seja, está em desenvolvimento um novo modelo de user reports e compliance administrator que irá facilitar a vida dos administradores.

 

Este update foi anunciado em um blog do time de produto, em que discutimos que a nova release terá:

 

- Office 365 activity report

 

A nova interface gráfica será integrada entre produtos. Podemos procurar atividades de um usuário pelas ações feitas em Exchange Online, Sharpoint Online, Azure AD, OneDrive (arquivos) e fazer o download destas ações diretamente da ferramenta como .csv. Anteriormente, para possuir o relatório em .csv, tínhamos que fazer pelo PowerShell.

 

Além da interface possuir ações integradas que facilita a vizualicação para o administrador, os recursos de filtro podem ser aplicados para data, usuário, arquivo e atividade efetuada.

 

- Melhoria nas funcionalidades de log

 

Eventos de produtos são armazenados no mesmo log. Isto significa que são aproximadamente 150 tipos de eventos que serão logados pela ferramenta.

 

Também foi anunciado que o time pretende adicionar mais funcionalidades em Auditing como a adição de logs de Skype for Business, Yammer e mais atividades feitas no próprio O365.

 

- Melhorias em Powershell

 

O comando “Search-UnifiedAuditLog” faz com que o search seja feito diretamente no storage que possui todos os logs dos produtos e exportar os resultados para um arquivo.

 

- API

Customização. Empresas podem criar seus próprios programas que façam a integração com Auditing.

 

Podemos ver também as propriedades que o relatório terá no site do technet. Algumas das ações monitoradas que serão úteis para administradores de Exchange Online são:

 

ClientIP O endereço IP que efetuou o acesso da mailbox.
ClientProcessName Informações do client de email utilizado para acessar a mailbox em questão.
CreationTime Horário em que o acesso foi realizado.
ExternalAccess Em Exchange Admin, se o comando de gerência foi executado por algum admin da sua organização ou por um administrador externo.
LogonType O tipo de mailbox que efetuou o acesso. Tais como: administrador, owner, delegate, serviço de transporte, conta de outros serviços ou administrador delegado.
MailboxGuid O MailboxGuid da mailbox que foi acessada.
MailboxOwnerUPN O UPN da mailbox que foi acessada.
ObjectID Para ações de gerência em Exchange Online, o objeto que foi alterado no cmdlet executado pelo administrador.
Operation A atividade em si. Maiores informações abaixo.
Path O path da pasta que foi acessada.
Parameters Parametros de comandos executados pelo administrador de Exchange Online.
Subject O titulo da mensagem que foi acessada.
UserID Informações do usuário que fez o acesso na mailbox.

Uma dais informações mais importantes acima, está o “LogonType”. Podemos ver que iremos monitorar entradas de owner, o que antes não era possível no Exchange Online.

 

Conforme indicado pelo time de produto, teremos um storage somente para logs de auditoria – o que fez com que esta mudança fosse possível, já que antes deste update, os logs de mailbox audit eram armazenados localmente nas mailboxes (dificultando a gerência de data para mailbox audit logs).

 

Quanto as operações que serão monitoradas, temos:

 

Event Description Admin Delegate Owner
Copy An item is copied to another folder. Yes No No
Create An item is created in the mailbox (for example, a message is sent or received). Note that folder creation isn't audited. Yes Yes Yes
FolderBind A mailbox is accessed by an admin or delegate. Use this event to identify when a mailbox is accessed or opened by someone other than the owner. Yes Yes No
HardDelete An item is permanently deleted (purged) from the Recoverable Items folder. Yes Yes Yes
MailboxLogin The user signs in to their mailbox. No No Yes
MessageBind An item is accessed in the reading pane or opened. Yes No No
Move An item is moved to another folder. Yes Yes Yes
MoveToDeletedItems An item is deleted and moved to the Deleted Items folder. Yes Yes Yes
SendAs A message is sent using Send As permissions. Yes Yes No
SendOnBehalf A message is sent using Send on Behalf permissions. Yes Yes No
SoftDelete An item is permanently deleted or is deleted from the Deleted Items folder; in both cases, the item is moved to the Recoverable Items folder. Yes Yes Yes
Update An item's properties are updated. Yes Yes Yes

 

De novas funcionalidades (além de poder monitorar o owner da mailbox), temos os eventos “MessageBind” e “Create”.

 

Além de utilizar a interface gráfica para obter os resultados, administradores podem utilizar o powershell ou customizar seus próprios programas com o API do O365.

 

Os parâmetros disponíveis no comando “Search-UnifiedAuditLog” estão disponíveis neste site.

 

Você pode acompanhar o status desta atualização pelo site do roadmap, ou simplesmente validando no seu portal se a opção abaixo já está habilitada:

 

clip_image004