Granskningsloggning för Mesh

Granskningsloggning hjälper organisationer att effektivt reagera på säkerhetshändelser, kriminaltekniska undersökningar, interna undersökningar och efterlevnadsskyldigheter. Den här artikeln sammanfattar hur du frågar efter och begär granskningsloggar för Microsoft Mesh-åtgärder och -händelser. Vissa åtgärder är Mesh-specifika, medan andra är associerade med andra M365-åtgärder, till exempel M365: Exchange, SharePoint, Microsoft Entra -åtgärder (Azure AD), Microsoft Teams osv.

Med granskningsloggning för Mesh kan en administratör samla in insikter om enskilda åtgärder eller massåtgärder som rör användaraktivitet eller åtgärder som är resultatet av interaktioner med M365-tjänster för Microsoft Mesh.

Granskningsloggning för Mesh kan göras med Microsoft Purview eller Exchange Online PowerShell.

Kommentar

Microsoft Mesh har två huvudsakliga erbjudanden för användare: Uppslukande utrymmen i Teams och anpassade uppslukande utrymmen. Granskningsloggning behandlar inte dessa erbjudanden som oberoende och därför kan händelserna i granskningen referera till antingen erbjudande eller båda erbjudandena, beroende på vilken händelse du frågar.

Exempel på användaraktivitet och åtgärder som en administratör kan vara intresserad av för Mesh är:

• Slutanvändare i Mesh i Teams/Mesh Browser – ansluter till Mesh-sessioner .

• Mesh-administratörer och användare som skapar händelser på Mesh-portalen.

• Innehållsskapare som använder Mesh Toolkit (Mesh Uploader) för att skapa och ladda upp artefakter.

Granskningsbara händelser för Microsoft Mesh

De granskningshändelser som för närvarande är tillgängliga visas nedan. Händelser genereras baserat på användaraktivitet i Mesh-administratörsportalen eller sessions-/mallanpassningsaktivitet i Mesh-programmet.

Händelsenamn	beskrivning
MiljöTa bort	Ta bort en Mesh-miljö.
MiljöPublicerad	Publicera en ny version av en Mesh-miljö.
KomponentSkapad	Skapa en sessionskomponent för en viss Mesh-session.
ComponentDeleted	Ta bort en sessionskomponent i en viss Mesh-session.
MallSkapad	Skapa en ny Mesh World/Collection-mall.
TemplateDeleted	Ta bort innehåll och metadata för Mesh World Template.
TemplateUpdated	Uppdatera en befintlig Mesh World/Collection-mall.
WorldCreated	Skapa en Mesh World/Collection.
WorldDeleted	Ta bort en Mesh World/Collection.
WorldUpdated	Uppdatera en Mesh World/Collection.
WorldMembersLägg till	Lägg till medlemmar i Mesh World/Collection.
WorldOwnersAdded	Lägg till ägare av en Mesh World/Collection.
WorldMembersRemoved	Ta bort en medlem från en Mesh World/Collection.
WorldOwnersRemoved	Ta bort en ägare från en Mesh World/Collection.
EnvironmentStorageSkapad	Skapa en ny lagringsplats för en Mesh-miljö.
SessionMetadataSkapas	Skapa Mesh World/Collection Sessionsmetadata.
SessionMetadataDeleted	Ta bort Mesh World/Collection Sessionsmetadata.
SessionMetadataUpdated	Uppdatera Mesh World/Collection Sessionsmetadata.
SessionMetadataTemplateSkapas	Skapa en mallanpassning för Mesh World/Collection.
SessionEnvironmentSet	Ange miljön för en samarbetssession.
SessionJoin	Mesh-tjänsten etablerade nödvändiga systemresurser och gav klientprogrammet den information som krävs för att ansluta till en Mesh-session.

Några förtydliganden om vad terminologin i dessa händelser avser:

• Session: refererar till sessioner när vissa saker har konfigurerats för miljöer eller möten. Det finns tre typer av sessioner som registreras av granskningsloggar:

  • Mallanpassningssession: loggar registreras när en användare anpassar en händelsemall och sparar ändringar i Mesh-programmet.
  • Händelseanpassningssession: Loggar registreras när en användare anpassar en enskild händelse och sparar ändringar i Mesh-programmet.
  • Händelsesession: Loggar registreras när en Mesh-händelse inträffar. Konfigurationen är vanligtvis oföränderlig eftersom komponenter till exempel inte kan placeras av användare i en livehändelse.

• World : refererar till samlingar i Mesh på webben. Samlingar är en bucket som innehåller miljöer och mallar för miljöer som används i Mesh-händelser. Granskningsloggar registreras när en användare skapar en samling, tar bort en samling, lägger till medlemmar i en samling, lägger till ägare i en samling eller tar bort ägare från en samling.

• Komponent: refererar till objekt som återges i en miljö när en session startas för en händelse, mall eller anpassningssession. Om en användare försöker komma in i en miljö läses komponenterna i den miljön in och registreras av komponentloggar.

Microsoft Purview

Microsoft Purview-granskningslösningar tillhandahåller en integrerad lösning som hjälper organisationer att effektivt svara på säkerhetshändelser, kriminaltekniska undersökningar, interna undersökningar och efterlevnadsskyldigheter.

Krav för Purview-granskningsloggningslösningar

Se hur du kommer igång med Microsoft Purview-granskningsloggningslösningar.

Kom igång med sökning

Se hur du söker i granskningsloggen i Microsoft Purview.

Exportera, konfigurera och visa poster i spårningsloggen

Så här exporterar, konfigurerar och visar du granskningsloggposter.

Exchange Online PowerShell

Förutsättningar för att använda Exchange Online PowerShell

För att kunna utföra granskningsloggning för Mesh-åtgärder krävs följande krav:

• Åtkomst och kunskap om Microsoft Purview för granskningsloggning
• Åtkomst och kunskap om PowerShell Exchange-cmdlet
• Administratörsbehörigheter som krävs för att köra cmdlet-kommandon
• Microsoft Excel eller ett annat dataanalysverktyg för att analysera data när de har samlats in
• PowerShell v7

Samla in granskningsloggar för Mesh

Ansluta till Exchange Online PowerShell

I PowerShell läser du in Exchange Online PowerShell-modulen

Import-Module ExchangeOnlineManagement

Ansluta och autentisera

Connect-ExchangeOnline -UserPrincipalName [USER]@[AADDOMAIN].com

Mer information finns i hur du ansluter till Exchange Online PowerShell.

Kontrollera att granskningsloggning är på

Granskningsloggning är aktiverat som standard för Microsoft 365-organisationer. När du konfigurerar en ny Microsoft 365-organisation bör du dock verifiera granskningsstatusen för din organisation. Anvisningar finns i hur du aktiverar eller inaktiverar granskning.

Dricks

Om du vill kontrollera vilka behörigheter som krävs för varje cmdlet går du till Hitta de behörigheter som krävs för att köra en Exchange-cmdlet.

Sök efter Unified AuditLog-händelser

När du har kontrollerat att granskningsloggningen är aktiverad och du har rätt behörighet att köra cmdletar kan du nu söka efter loggposter med hjälp av kommandot Search-UnifiedAuditLog med olika filter.

Viktigt!

Det finns en mängd olika parametrar för Search-UnifiedAuditLog. Läs dokumentationen om Search-UnifiedAuditLog | Microsoft Learn för mer information.

Innehållet i granskningsposten innehåller följande fält:

• RecordType – arbetsbelastningstyp, t.ex. SharePoint eller MeshWorlds
• CreationDate
• UserIds – användare som utför en åtgärd.
• Åtgärder – vanligtvis åtgärdsnamn eller åtgärdsnamn.
• AuditData – JSON-kodade detaljerade händelsedata. Innehållet varierar beroende på arbetsbelastningstyp.
• ResultIndex – index för en rad i ett resultat som returneras av PowerShell-skript (1-N...).
• ResultCount – totalt antal rader som returneras av PowerShell-skript.
• Identitet – Azure ID/Microsoft Entra GUID för användaren.

Search-UnifiedAuditLog exempel 1

En grundläggande fråga för granskningsloggar med -StartDate och -EndDate.

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 | Export-Csv -Path .\export-all.csv -NoTypeInformation

Postinnehållet kommer i ett format som kan vara svårt att parsa initialt, men när det har formaterats bör det vara förståeligt.

Exempelsvar:

"AzureActiveDirectory","4/9/2024 6:49:03 PM","[XXXXXXX]@[XXXXX].com","Update group.","{""CreationTime"":""2024-04-09T18:49:03"",""Id"":""871d4a2e-8e38-488e-a83e-b7a7c6c65228"",""Operation"":""Update group."",""OrganizationId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""RecordType"":8,""ResultStatus"":""Success"",""UserKey"":""10032002CCA9134A@meshrp.onmicrosoft.com"",""UserType"":0,""Version"":1,""Workload"":""AzureActiveDirectory"",""ClientIP"":""20.171.55.147"",""ObjectId"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""UserId"":""[XXXXXXX]@[XXXXX].com"",""AzureActiveDirectoryEventType"":1,""ExtendedProperties"":[{""Name"":""additionalDetails"",""Value"":""{\""GroupType\"":\""Unified\"",\""User-Agent\"":\""kiota-dotnet\/1.3.4\""}""},{""Name"":""extendedAuditEventCategory"",""Value"":""Group""}],""ModifiedProperties"":[{""Name"":""Description"",""NewValue"":""[\r\n  \""New collection of stuff for M365 Audit feature testing\""\r\n]"",""OldValue"":""[\r\n  \""New collection of stuff\""\r\n]""},{""Name"":""MailNickname"",""NewValue"":""[\r\n  \""MyCollectionofStuff2272\""\r\n]"",""OldValue"":""[\r\n  \""MyCollectionofStuff2\""\r\n]""},{""Name"":""Included Updated Properties"",""NewValue"":""Description, MailNickname"",""OldValue"":""""},{""Name"":""TargetId.GroupType"",""NewValue"":""Unified"",""OldValue"":""""}],""Actor"":[{""ID"":""[XXXXXXX]@[XXXXX].com"",""Type"":5},{""ID"":""10032002CCA9134A"",""Type"":3},{""ID"":""Microsoft Mesh Services"",""Type"":1},{""ID"":""3016d0ce-47cc-4005-b11d-5fcabb1b643d"",""Type"":2},{""ID"":""User_c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""User"",""Type"":2}],""ActorContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""ActorIpAddress"":""20.171.55.147"",""InterSystemsId"":""2cd62b4e-4744-4c55-8a88-e64771393266"",""IntraSystemId"":""0b9fe72c-eca5-4ad5-a9c5-5986e8bc963d"",""SupportTicketId"":"""",""Target"":[{""ID"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""Group"",""Type"":2},{""ID"":""My Collection of Stuff 2"",""Type"":1}],""TargetContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82""}","4","2148","871d4a2e-8e38-488e-a83e-b7a7c6c65228","True","Unchanged"

Dricks

-NoTypeInformation är ett PowerShell-verktyg för att göra .csv exporter renare.

Search Search-UnifiedAuditLog exempel 2

En grundläggande fråga för alla granskningsloggar med -Operations som innehåller strängen World .

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 -Operations World* | Export-Csv -Path .\export-all-world.csv -NoTypeInformation

Search Search-UnifiedAuditLog exempel 3

En grundläggande fråga för alla granskningsloggar med -UserIds som innehåller strängen [email@company.com] .

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-04-10 -UserIds [email@company.com] | Export-Csv -Path .\export-all-Max.csv -NoTypeInformation

Registrera innehållsanalys

Innehållet i granskningsloggposten returneras i JSON-format. AuditData-analys kan kräva en förtrogenhet med parsning av text som JSON eller XML.

Postuppsättningen kan importeras till Excel för analys. Mer information finns i importera data från källor till Excel.