Ведение журнала аудита для Сетки

Ведение журнала аудита помогает организациям эффективно реагировать на события безопасности, судебно-медицинские расследования, внутренние расследования и обязательства по соответствию требованиям. В этой статье описывается, как запрашивать и запрашивать журналы аудита для операций и событий Microsoft Mesh. Некоторые операции относятся к сетке, а другие связаны с другими операциями M365, такими как M365: Exchange, SharePoint, Microsoft Entra (Azure AD), Microsoft Teams и т. д.

При ведении журнала аудита для Сетки администратор может собирать аналитические сведения о отдельных или массовых операциях, связанных с действиями пользователей или операциями, которые приводят к взаимодействию со службами M365 для Microsoft Mesh.

Ведение журнала аудита для Сетки можно сделать с помощью Microsoft Purview или Exchange Online PowerShell.

Примечание.

Microsoft Mesh имеет два основных предложения для пользователей: иммерсивные пространства в Teams и пользовательские иммерсивные пространства. Ведение журнала аудита не рассматривает эти предложения как независимые, поэтому события в аудите могут ссылаться на предложение или оба предложения в зависимости от события, которое вы запрашиваете.

Примеры действий пользователей и операций, которые администратор может заинтересовать для Сетки:

• Конечные пользователи в Сетке в Teams или браузере сетки — присоединение к сеансам Сетки.

• Администраторы сетки и пользователи , создающие события на портале Сетки.

• Создатели содержимого с помощью набора средств Сетки (Средство отправки сетки ) для создания и отправки артефактов.

События, доступные для аудита для Microsoft Mesh

Ниже перечислены события аудита, доступные в настоящее время. События создаются на основе действий пользователей на портале администрирования сетки или действия настройки сеанса или шаблона в приложении Сетки.

Имя события	Description
EnvironmentDeleted	Удаление среды сетки.
EnvironmentPublished	Публикация новой версии среды сетки.
ComponentCreated	Создайте компонент сеанса для заданного сеанса Сетки.
ComponentDeleted	Удаление компонента сеанса заданного сеанса Сетки.
TemplateCreated	Создайте шаблон "Мир сетки" или "Коллекция".
TemplateDeleted	Удаление содержимого и метаданных шаблона Сетки.
TemplateUpdated	Обновите существующий шаблон Сетки World/Collection.
WorldCreated	Создание сетки World/Collection.
WorldDeleted	Удаление мира или коллекции сетки.
WorldUpdated	Обновите мир или коллекцию сетки.
WorldMembersAdded	Добавьте элементы в сетку World/Collection.
WorldOwnersAdded	Добавьте владельцев сетки World/Collection.
WorldMembersRemoved	Удалите элемент из сетки World/Collection.
WorldOwnersRemoved	Удалите владельца из сетки World/Collection.
EnvironmentStorageCreated	Создайте новое расположение хранилища для среды сетки.
SessionMetadataCreated	Создание метаданных сеанса сетки или коллекции.
SessionMetadataDeleted	Удаление метаданных сеанса "Мир сетки" или "Коллекция".
SessionMetadataUpdated	Обновление метаданных сеанса сетки или коллекции.
SessionMetadataTemplateCreated	Создайте настройку шаблона для сетки World/Collection.
SessionEnvironmentSet	Задайте среду для сеанса совместной работы.
SessionJoin	Служба сетки подготовила необходимые системные ресурсы и предоставила клиентскому приложению сведения, необходимые для присоединения к сеансу Сетки.

Некоторые пояснения о том, какие термины в этих событиях относятся:

• Сеанс: относится к сеансам, когда определенные вещи настроены для сред или собраний. Существует три типа сеансов, которые записываются журналами аудита:

  • Сеанс настройки шаблона: журналы записываются при настройке шаблона события и сохранении изменений в приложении Сетки.
  • Сеанс настройки событий: журналы записываются при настройке одного события и сохранении изменений в приложении Сетки.
  • Сеанс событий: журналы записываются при возникновении события Сетки. Как правило, конфигурация неизменяема, так как компоненты не могут размещаться пользователями в динамическом событии, например.

• World : относится к коллекциям в Сетке в Интернете. Коллекции — это контейнер, содержащий среды и шаблоны сред, используемых в событиях сетки. Журналы аудита записываются при создании коллекции, удалении коллекции, добавлении членов в коллекцию, добавлении владельцев в коллекцию или удалении владельцев из коллекции.

• Компонент: относится к объектам, которые отображаются в среде при запуске сеанса для события, шаблона или сеанса настройки. Если пользователь пытается ввести среду, компоненты в этой среде загружаются и фиксируются журналами компонентов.

Microsoft Purview

Решения для аудита Microsoft Purview предоставляют интегрированное решение для эффективного реагирования организаций на события безопасности, судебно-медицинские расследования, внутренние расследования и обязательства по соответствию требованиям.

Предварительные требования для решений для ведения журнала аудита Purview

Узнайте, как приступить к работе с решениями для ведения журнала аудита Microsoft Purview.

Начало работы с поиском

Узнайте, как выполнить поиск в журнале аудита в Microsoft Purview.

Экспорт, настройка и просмотр записей журнала аудита

Как экспортировать, настраивать и просматривать записи журнала аудита.

Exchange Online PowerShell

Предварительные требования для использования Exchange Online PowerShell

Чтобы проводить ведение журнала аудита для операций сетки, необходимы следующие предварительные требования:

• Доступ и знакомство с Microsoft Purview для ведения журнала аудита
• Доступ и знакомство с командлетом PowerShell Exchange
• Разрешения администратора, необходимые для выполнения командлетов
• Microsoft Excel или другое средство анализа данных для анализа данных после сбора данных
• PowerShell версии 7

Сбор журналов аудита для Сетки

Подключение к Exchange Online с помощью удаленной оболочки PowerShell

В PowerShell загрузите модуль Exchange Online PowerShell

Import-Module ExchangeOnlineManagement

Подключение и проверка подлинности

Connect-ExchangeOnline -UserPrincipalName [USER]@[AADDOMAIN].com

Дополнительные сведения см. в статье о подключении к Exchange Online PowerShell.

Убедитесь, что ведение журнала аудита включено

Ведение журнала аудита включается по умолчанию для организаций Microsoft 365. Однако при настройке новой организации Microsoft 365 необходимо проверить состояние аудита для вашей организации. Инструкции по включению или отключению аудита.

Совет

Чтобы проверить разрешения, необходимые для каждого командлета, посетите страницу поиска разрешений, необходимых для выполнения любого командлета Exchange.

Поиск событий Unified AuditLog

После того как вы убедились, что ведение журнала аудита включено, и у вас есть соответствующие разрешения для выполнения командлетов, теперь можно выполнить поиск записей журналов с помощью команды Search-UnifiedAuditLog с различными фильтрами.

Внимание

Существует широкий массив параметров для Search-UnifiedAuditLog. Ознакомьтесь с документацией search-UnifiedAuditLog | Дополнительные сведения см. в Microsoft Learn .

Содержимое записи аудита содержит следующие поля:

• RecordType — тип рабочей нагрузки, например SharePoint или MeshWorlds
• CreationDate
• UserIds — пользователи , выполняющие операцию.
• Операции — обычно имя операции или имена операций.
• AuditData — данные событий в кодировке JSON. Содержимое зависит от типа рабочей нагрузки.
• ResultIndex — индекс строки в результате, возвращаемой скриптом PowerShell (1-N...).
• ResultCount — общее количество строк, возвращаемых скриптом PowerShell.
• Удостоверение — идентификатор Azure и GUID Microsoft Entra пользователя.

Пример search-UnifiedAuditLog 1

Базовый запрос журналов аудита с и -StartDate -EndDate.

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 | Export-Csv -Path .\export-all.csv -NoTypeInformation

Содержимое записи будет отображаться в формате, который может быть трудно проанализировать первоначально, но после форматирования он должен быть понятным.

Пример ответа:

"AzureActiveDirectory","4/9/2024 6:49:03 PM","[XXXXXXX]@[XXXXX].com","Update group.","{""CreationTime"":""2024-04-09T18:49:03"",""Id"":""871d4a2e-8e38-488e-a83e-b7a7c6c65228"",""Operation"":""Update group."",""OrganizationId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""RecordType"":8,""ResultStatus"":""Success"",""UserKey"":""10032002CCA9134A@meshrp.onmicrosoft.com"",""UserType"":0,""Version"":1,""Workload"":""AzureActiveDirectory"",""ClientIP"":""20.171.55.147"",""ObjectId"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""UserId"":""[XXXXXXX]@[XXXXX].com"",""AzureActiveDirectoryEventType"":1,""ExtendedProperties"":[{""Name"":""additionalDetails"",""Value"":""{\""GroupType\"":\""Unified\"",\""User-Agent\"":\""kiota-dotnet\/1.3.4\""}""},{""Name"":""extendedAuditEventCategory"",""Value"":""Group""}],""ModifiedProperties"":[{""Name"":""Description"",""NewValue"":""[\r\n  \""New collection of stuff for M365 Audit feature testing\""\r\n]"",""OldValue"":""[\r\n  \""New collection of stuff\""\r\n]""},{""Name"":""MailNickname"",""NewValue"":""[\r\n  \""MyCollectionofStuff2272\""\r\n]"",""OldValue"":""[\r\n  \""MyCollectionofStuff2\""\r\n]""},{""Name"":""Included Updated Properties"",""NewValue"":""Description, MailNickname"",""OldValue"":""""},{""Name"":""TargetId.GroupType"",""NewValue"":""Unified"",""OldValue"":""""}],""Actor"":[{""ID"":""[XXXXXXX]@[XXXXX].com"",""Type"":5},{""ID"":""10032002CCA9134A"",""Type"":3},{""ID"":""Microsoft Mesh Services"",""Type"":1},{""ID"":""3016d0ce-47cc-4005-b11d-5fcabb1b643d"",""Type"":2},{""ID"":""User_c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""User"",""Type"":2}],""ActorContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""ActorIpAddress"":""20.171.55.147"",""InterSystemsId"":""2cd62b4e-4744-4c55-8a88-e64771393266"",""IntraSystemId"":""0b9fe72c-eca5-4ad5-a9c5-5986e8bc963d"",""SupportTicketId"":"""",""Target"":[{""ID"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""Group"",""Type"":2},{""ID"":""My Collection of Stuff 2"",""Type"":1}],""TargetContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82""}","4","2148","871d4a2e-8e38-488e-a83e-b7a7c6c65228","True","Unchanged"

Совет

-NoTypeInformation — это служебная программа PowerShell для упрощения экспорта .csv.

Пример поиска —UnifiedAuditLog для поиска 2

Базовый запрос для всех журналов аудита, включающих -Operations World строку.

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 -Operations World* | Export-Csv -Path .\export-all-world.csv -NoTypeInformation

Пример поиска —UnifiedAuditLog для поиска 3

Базовый запрос для всех журналов аудита, включающих -UserIds [email@company.com] строку.

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-04-10 -UserIds [email@company.com] | Export-Csv -Path .\export-all-Max.csv -NoTypeInformation

Анализ содержимого записи

Содержимое записи журнала аудита возвращается в формате JSON. Для анализа AuditData может потребоваться знакомство с анализом текста в формате JSON или XML.

Набор записей можно импортировать в Excel для анализа. Дополнительные сведения см . в статье о импорте данных из источников в Excel.