Поиск в журнале аудита для изучения распространенных проблем с поддержкой

В этой статье описывается, как использовать средство поиска по журналам аудита для изучения распространенных проблем поддержки. Это руководство включает в себя использование журнала аудита для выполнения следующих действий:

• Поиск IP-адреса компьютера, используемого для доступа к скомпрометированной учетной записи
• Определение того, кто настроит переадресацию электронной почты для почтового ящика
• Определение удаления пользователем элементов электронной почты в почтовом ящике
• Определение того, создал ли пользователь правило папки "Входящие"
• Изучение причин успешного входа пользователем за пределами организации
• Поиск действий почтовых ящиков, выполняемых пользователями с лицензиями, не указанными в E5
• Поиск действий почтовых ящиков, выполняемых делегированными пользователями

Использование средства поиска по журналам аудита

Каждый сценарий исследования, описанный в этой статье, основан на использовании средства поиска по журналам аудита на портале Microsoft Purview. В этом разделе перечислены разрешения, необходимые для поиска в журнале аудита, а также описаны шаги по доступу и выполнению поиска по журналам аудита. В каждом разделе сценария объясняется, как настроить поисковый запрос по журналу аудита и что следует искать в подробных сведениях в записях аудита, соответствующих условиям поиска.

Разрешения, необходимые для использования инструмента поиска в журнале аудита

Для поиска в журнале аудита вам должны быть назначены роли Журналы аудита или Только просмотр журналов аудита в Purview. По умолчанию группам ролей Читатель аудита и Диспетчер аудита на странице Группы ролей на портале Microsoft Purview назначены эти роли.

Для доступа к командлетам аудита необходимо назначить роли Журналы аудита и Просмотр только журналов аудита в Центре администрирования Exchange. По умолчанию группам ролей "Управление соответствием требованиям " и "Управление организацией " на странице "Разрешения" в Центре администрирования Exchange назначены эти роли.

Дополнительные сведения см. в статье Начало работы с решениями аудита.

Выполнение поиска по журналам аудита

Подробные инструкции по выполнению поиска в журнале аудита см. в разделе Поиск в журнале аудита.

Поиск IP-адреса компьютера, используемого для доступа к скомпрометированной учетной записи

Большинство записей аудита включают IP-адрес для любых действий пользователя. Запись аудита также содержит сведения об используемом клиенте.

Чтобы настроить поисковый запрос журнала аудита для этого сценария, используйте следующие параметры:

• Деятельности: Если это относится к вашему делу, выберите определенное действие для поиска. Для изучения скомпрометированных учетных записей рекомендуется выбрать действие Пользователь вошел в почтовый ящик в разделе Действия почтового ящика Exchange. Этот выбор возвращает записи аудита, показывающие IP-адрес, используемый при входе в почтовый ящик. В противном случае оставьте это поле пустым, чтобы возвращались записи аудита для всех действий.

• Дата начала и дата окончания. Выберите диапазон дат, применимый к расследованию.
• Пользователей: Если вы изучаете скомпрометированную учетную запись, выберите пользователя, учетная запись которого была скомпрометирована. Этот выбор возвращает записи аудита для действий, выполняемых этой учетной записью пользователя.
• Файл, папка или сайт: Оставьте это поле пустым.

После выполнения поиска IP-адрес для каждого действия отображается в столбце IP-адрес в результатах поиска. Выберите запись в результатах поиска, чтобы просмотреть более подробные сведения на странице сведений.

Определение того, кто настроит переадресацию электронной почты для почтового ящика

При настройке переадресации электронной почты для почтового ящика сообщения, отправленные в этот почтовый ящик, перенаправлялись в другой почтовый ящик. Вы можете пересылать сообщения пользователям внутри организации или за ее пределами. При настройке пересылки электронной почты в почтовом ящике используйте базовый командлет Exchange Online Set-Mailbox.

Чтобы настроить поисковый запрос журнала аудита для этого сценария, используйте следующие параметры:

• Деятельности: Оставьте это поле пустым, чтобы поиск возвращал записи аудита для всех действий. Этот параметр необходим для возврата всех записей аудита, связанных с командлетом Set-Mailbox .
• Дата начала и дата окончания. Выберите диапазон дат, применимый к расследованию.
• Пользователей: Если вы не изучаете проблему переадресации электронной почты для определенного пользователя, оставьте это поле пустым. Этот параметр помогает определить, настроена ли пересылка электронной почты для любого пользователя.
• Файл, папка или сайт: Оставьте это поле пустым.

После запуска поиска выберите Фильтр результатов на странице результатов поиска. В поле под заголовком столбца Действие введите Set-Mailbox , чтобы отображались только записи аудита, связанные с командлетом Set-Mailbox .

Необходимо просмотреть сведения о каждой записи аудита, чтобы определить, связано ли действие с пересылкой электронной почты. Выберите запись аудита, чтобы отобразить всплывающую страницу Сведения, а затем выберите Дополнительные сведения. На следующем снимке экрана и в описаниях выделены сведения, указывающие на то, что для почтового ящика была установлена ​​переадресация электронной почты.

А. В поле ObjectId отображается псевдоним почтового ящика, в котором была настроена переадресация электронной почты. Этот почтовый ящик также отображается в столбце Элемент на странице результатов поиска.

Б. В поле Параметры значение ForwardingSmtpAddress указывает, что в почтовом ящике была настроена пересылка электронной почты. В этом примере почта пересылается на адрес электронной почты mike@contoso.com, находящийся за пределами организации alpinehouse.onmicrosoft.com.

c. Значение True для параметра DeliverToMailboxAndForward указывает, что копия сообщения доставляется sarad@alpinehouse.onmicrosoft.comи пересылается на адрес электронной почты, указанный параметром ForwardingSmtpAddress , который в этом примере имеет значение mike@contoso.com. Если для параметра DeliverToMailboxAndForward задано значение ЛОЖЬ, электронная почта перенаправляется только на адрес, указанный в параметре ForwardingSmtpAddress. Не доставляется на почтовый ящик, указанный в поле ObjectId.

d. Поле UserId указывает пользователя, настроившего переадресацию электронной почты в почтовом ящике, указанном в поле ObjectId . Этот пользователь также отображается в столбце Пользователь на странице результатов поиска. В этом случае кажется, что владелец почтового ящика настраивает переадресацию электронной почты в почтовом ящике.

Если вы определили, что переадресация электронной почты не должна быть настроена в почтовом ящике, удалите ее, выполнив следующую команду в Exchange Online PowerShell:

Set-Mailbox <mailbox alias> -ForwardingSmtpAddress $null

Дополнительные сведения о параметрах, связанных с пересылкой электронной почты, см. в статье Set-Mailbox .

Определение удаления пользователем элементов электронной почты

Начиная с января 2019 года корпорация Майкрософт включила ведение журнала аудита почтовых ящиков по умолчанию для всех организаций Office 365 и Microsoft 365. Это изменение означает, что система автоматически регистрирует определенные действия, выполняемые владельцами почтовых ящиков, и вы можете получить доступ к соответствующим записям аудита почтового ящика при поиске в журнале аудита почтовых ящиков. Перед этим изменением необходимо вручную включить ведение журнала аудита почтовых ящиков для каждого почтового ящика пользователя в организации.

По умолчанию система регистрирует действия почтового ящика, в том числе действия почтового ящика SoftDelete и HardDelete, выполняемые владельцами почтовых ящиков. С помощью этого журнала аудита можно искать в журнале аудита события, связанные с удаленными элементами электронной почты. Дополнительные сведения об аудите почтовых ящиков по умолчанию см. в разделе Управление аудитом почтовых ящиков.

Чтобы настроить поисковый запрос журнала аудита для этого сценария, используйте следующие параметры:

• Деятельности: В разделе Действия почтового ящика Exchange выберите одно или оба следующих действия:
• Удаленные сообщения из папки "Удаленные": Это действие соответствует действию аудита почтового ящика SoftDelete . Журнал аудита записывает это действие, когда пользователь удаляет сообщение из папки "Удаленные". Он также записывает это действие, когда пользователь окончательно удаляет элемент, выбрав его и нажав клавиши SHIFT+DELETE. После окончательного удаления элемента пользователь может восстановить его до истечения срока хранения удаленного элемента.
• Очищенные сообщения из почтового ящика: Это действие соответствует действию аудита почтового ящика HardDelete . Журнал аудита записывает это действие, когда пользователь очищает элемент из папки "Элементы с возможностью восстановления ". Администраторы могут использовать средство поиска на портале Microsoft Purview для поиска и восстановления очищенных элементов до истечения срока хранения удаленных элементов или дольше, если почтовый ящик пользователя находится на удержании.
• Дата начала и дата окончания. Выберите диапазон дат, применимый к расследованию.
• Пользователей: Если выбрать пользователя в этом поле, средство поиска по журналам аудита возвращает записи аудита для элементов электронной почты, удаленных указанным пользователем (SoftDeleted или HardDeleted). Иногда пользователь, который удаляет сообщение электронной почты, не является владельцем почтового ящика.
• Файл, папка или сайт: Оставьте это поле пустым.

После запуска поиска можно отфильтровать результаты поиска, чтобы отобразить записи аудита для обратимо удаленных или окончательно удаленных элементов. Выберите запись аудита, чтобы отобразить всплывающую страницу Сведения, а затем выберите Дополнительные сведения. Дополнительные сведения об удаленном элементе, такие как строка темы и расположение элемента, когда он был удален, отображаются в поле AffectedItems . На следующих снимках экрана показан пример поля AffectedItems из обратимо удаленного элемента и окончательно удаленного элемента.

Пример поля AffectedItems для обратимо удаленного элемента

Пример поля AffectedItems для жестко удаленного элемента

Восстановить удаленные элементы электронной почты

Пользователи могут восстановить обратимо удаленные элементы, если срок хранения удаленных элементов еще не истек. В Exchange Online срок хранения удаленных элементов по умолчанию составляет 14 дней, но администраторы могут увеличить этот параметр до 30 дней. Инструкции по восстановлению удаленных элементов см. в статье Восстановление удаленных элементов или электронной почты в Outlook в Интернете.

Как уже говорилось ранее, администраторы могут восстановить жестко удаленные элементы, если срок хранения удаленных элементов не истек или почтовый ящик находится на удержании. В этом случае элементы хранятся до истечения срока хранения. При выполнении поиска содержимого обратимо удаленные и жестко удаленные элементы в папке "Элементы с возможностью восстановления" отображаются в результатах поиска, если они соответствуют поисковому запросу. Дополнительные сведения о выполнении поиска контента см. в разделе Поиск контента в Office 365.

Определение того, создал ли пользователь правило папки "Входящие"

Когда пользователи создают правило папки "Входящие" для Exchange Online почтового ящика, система сохраняет соответствующую запись аудита в журнале аудита. Дополнительные сведения о правилах папки "Входящие" см. в следующих разделах:

• Использование правил папки "Входящие" в Outlook в Интернете
• Управление сообщениями электронной почты в Outlook с помощью правил

Чтобы настроить поисковый запрос журнала аудита для этого сценария, используйте следующие параметры:

• Деятельности: В разделе Действия почтового ящика Exchange выберите одно или оба следующих действия:
• New-InboxRule Создание нового правила для папки "Входящие" из Outlook Web App. Это действие возвращает записи аудита, когда пользователи создают правила папки "Входящие" с помощью веб-приложения Outlook или Exchange Online PowerShell.
• Обновлены правила для входящих сообщений из клиента Outlook. Это действие возвращает записи аудита, когда пользователи создают, изменяют или удаляют правила папки "Входящие" с помощью классического клиента Outlook.
• Дата начала и дата окончания. Выберите диапазон дат, применимый к расследованию.
• Пользователей: Если вы не изучаете конкретного пользователя, оставьте это поле пустым. Такой подход помогает определить новые правила папки "Входящие", настроенные любым пользователем.
• Файл, папка или сайт: Оставьте это поле пустым.

После выполнения поиска в результатах поиска отображаются все записи аудита для этого действия. Выберите запись аудита, чтобы отобразить всплывающую страницу Сведения, а затем выберите Дополнительные сведения. В поле Параметры отображаются сведения о параметрах правила папки "Входящие". На следующем снимке экрана и описаниях выделена информация о правилах для папки "Входящие".

А. В поле ObjectId в записи аудита отображается полное имя правила папки "Входящие". Это имя включает в себя псевдоним почтового ящика пользователя (например, SaraD) и имя правила для папки "Входящие" (например, "Перемещать сообщения от клиента").

Б. В поле Параметры в записи аудита отображается условие правила папки "Входящие". В этом примере условие задается параметром From. Значение, определенное для параметра From, указывает, что правило папки "Входящие" действует по электронной почте, отправленной .admin@alpinehouse.onmicrosoft.com Полный список параметров, которые можно использовать для определения условий правил папки "Входящие", см. в статье New-InboxRule .

c. Параметр MoveToFolder указывает действие для правила папки "Входящие". В этом примере сообщения, полученные от admin@alpinehouse.onmicrosoft.com , перемещаются в папку AdminSearch. Полный список параметров, которые можно использовать для определения действия правила папки "Входящие", см. в статье New-InboxRule .

d. Поле UserId указывает пользователя, создавшего правило папки "Входящие", указанное в поле ObjectId . Этот пользователь также отображается в столбце Пользователь на странице результатов поиска.

Изучение причин успешного входа пользователя за пределами вашей организации

При просмотре записей аудита в журнале аудита могут отображаться записи, показывающие, Microsoft Entra ID прошел проверку подлинности внешнего пользователя, успешно выполнившего вход в вашу организацию. Например, администратор в contoso.onmicrosoft.com может увидеть запись аудита, показывающую, что пользователь из другой организации (например, fabrikam.onmicrosoft.com) успешно вошел в contoso.onmicrosoft.com. Кроме того, вы можете увидеть записи аудита, показывающие, что пользователи с учетной записью Майкрософт (MSA), например Outlook.com или Live.com, успешно вошли в вашу организацию. В этих ситуациях проверяемой активностью является вход пользователя в систему.

Такое поведение является особенностью данного продукта. Microsoft Entra ID служба каталогов поддерживает сквозную проверку подлинности, когда внешний пользователь пытается получить доступ к сайту SharePoint или расположению OneDrive в вашей организации. Когда внешний пользователь пытается получить доступ к ресурсу, ей будет предложено ввести свои учетные данные. Microsoft Entra ID использует учетные данные для проверки подлинности пользователя, поэтому только Microsoft Entra ID проверяет, является ли пользователь тем, за кого он себя называет. Сведения об успешном входе в запись аудита поступают из Microsoft Entra проверки подлинности пользователя. Успешный вход не означает, что пользователь имел доступ к каким-либо ресурсам или выполнял какие-либо другие действия в вашей организации. Он показывает только, что Microsoft Entra ID прошел проверку подлинности пользователя. Чтобы сквозный пользователь получить доступ к ресурсам SharePoint или OneDrive, пользователь в вашей организации должен явно предоставить доступ к ресурсу внешнему пользователю, отправив ему приглашение на общий доступ или анонимную ссылку для общего доступа.

Ниже приведен пример и описания соответствующих свойств в записи аудита для пользователя, вошедшего в систему, если это является результатом сквозной проверки подлинности. Выберите запись аудита, чтобы отобразить всплывающую страницу Сведения, а затем выберите Дополнительные сведения.

А. В этом поле показано, что пользователь, который пытался получить доступ к ресурсу в организации, не найден в Microsoft Entra ID вашей организации.

Б. В этом поле отображается имя участника-пользователя внешнего пользователя, пытающегося получить доступ к ресурсу в организации. Этот идентификатор пользователя также отображается в свойствах User и UserId в записи аудита.

c. В свойстве ApplicationId отображается приложение, которое запустило запрос на вход. Значение , 00000003-0000-0ff1-ce00-000000000000 отображаемое в свойстве ApplicationId в этой записи аудита, указывает на SharePoint Online. OneDrive для бизнеса также имеет тот же ApplicationId.

d. В этом поле показано, что сквозная проверка подлинности выполнена успешно. Другими словами, Microsoft Entra ID успешно прошли проверку подлинности пользователя.

e. Значение RecordType15 показывает, что действие аудита (UserLoggedIn) является событием входа в службу маркеров безопасности (STS) в Microsoft Entra ID.

Дополнительные сведения о других свойствах, отображаемых в записи аудита UserLoggedIn, см. в Microsoft Entra связанных сведений о схеме в схеме API действий Office 365 управления.

Ниже приведены два примера сценариев, которые приводят к успешному входу пользователя в действие аудита из-за сквозной проверки подлинности:

• Пользователь с учетной записью Майкрософт (например, SaraD@outlook.com) пытается получить доступ к документу в учетной записи OneDrive для бизнеса в fourthcoffee.onmicrosoft.com, а соответствующая учетная запись SaraD@outlook.com гостевого пользователя отсутствует в fourthcoffee.onmicrosoft.com.
• Пользователь с рабочей или учебной учетной записью в организации (например, pilarp@fabrikam.onmicrosoft.com) пытается получить доступ к сайту SharePoint в contoso.onmicrosoft.com, и в contoso.onmicrosoft.com нет соответствующей учетной записи pilarp@fabrikam.com гостевого пользователя.

Советы по изучению успешных входов в систему в результате сквозной проверки подлинности

• Поиск в журнале аудита действий, выполняемых внешним пользователем, указанным в записи аудита, как Пользователь, выполнивший вход. Введите имя участника-пользователя для внешнего пользователя в поле Пользователи и используйте диапазон дат, если это применимо к вашему сценарию. Например, вы можете создать поиск, используя следующие критерии поиска:

  

  Помимо действий пользователя, выполнившего вход в систему, вы можете увидеть другие записи аудита, например записи, указывающие, что пользователь в вашей организации предоставляет доступ к ресурсам с внешним пользователем, а также указывает, обращается ли внешний пользователь к документу, к которому ему предоставлен общий доступ, или скачивал его.

• Выполните поиск действий общего доступа к SharePoint, указывающих, что файл был предоставлен внешнему пользователю, идентифицируемым пользователем, вошедший в запись аудита. Для получения дополнительной информации см. раздел Использование аудита совместного использования в журнале аудита.

• Экспортируйте результаты поиска в журнале аудита, содержащие записи, относящиеся к вашему исследованию, чтобы вы могли использовать Excel для поиска других действий, связанных с внешним пользователем. Дополнительные сведения см. в статье Экспорт, настройка и просмотр записей журнала аудита.

Поиск действий почтовых ящиков, выполняемых пользователями с лицензиями, не указанными в E5

Даже если аудит почтовых ящиков по умолчанию включен для вашей организации, вы можете заметить, что события аудита почтовых ящиков для некоторых пользователей не отображаются в поиске по журналам аудита с помощью портала Microsoft Purview, командлета Search-UnifiedAuditLog или API действий управления Office 365. Причина такого поведения заключается в том, что события аудита почтовых ящиков возвращаются только для пользователей с лицензиями E5 при использовании одного из предыдущих методов для поиска в едином журнале аудита.

Чтобы получить записи журнала аудита почтовых ящиков для пользователей, не относящихся к E5, используйте одно из следующих обходных решений:

• Включите аудит почтовых ящиков вручную для отдельных почтовых ящиков (выполните Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true команду в Exchange Online PowerShell). После включения аудита почтовых ящиков найдите действия аудита почтовых ящиков с помощью портала Microsoft Purview, командлета Search-UnifiedAuditLog или API действий управления Office 365.

  Примечание.

  Если аудит почтового ящика уже включен в почтовом ящике, но поиск не возвращает результатов, измените значение параметра AuditEnabled на $false , а затем вернитесь на $true.

Поиск действий почтовых ящиков, выполняемых в определенном почтовом ящике (включая общие почтовые ящики)

При использовании раскрывающегося списка Пользователи в средстве поиска по журналам аудита на портале Microsoft Purview или команде Search-UnifiedAuditLog -UserIds в Exchange Online PowerShell можно искать действия, выполненные конкретным пользователем. Для действий аудита почтовых ящиков этот тип поиска находит действия, выполненные указанным пользователем. Это не гарантирует, что результаты поиска включают все действия, выполняемые в одном почтовом ящике. Например, поиск по журналу аудита не возвращает записи аудита для действий, выполняемых пользователем-делегатом, так как поиск действий в почтовых ящиках, выполняемых конкретным пользователем, не возвращает действия, выполненные пользователем-делегатом, которому назначены разрешения на доступ к почтовому ящику другого пользователя. Пользователь-делегат — это пользователь, которому назначено разрешение на отправку, SendOnBehalf или FullAccess для почтового ящика другого пользователя.

Кроме того, при использовании раскрывающегося списка Пользователь в средстве поиска по журналу аудита или Search-UnifiedAuditLog -UserIds не возвращаются результаты действий, выполненных в общем почтовом ящике.

Для поиска действий, выполняемых в определенном почтовом ящике, или для поиска действий, выполняемых в общем почтовом ящике, используйте следующий синтаксис при выполнении командлета Search-UnifiedAuditLog :

Search-UnifiedAuditLog -StartDate <date> -EndDate <date> -FreeText (Get-Mailbox <mailbox identity).ExchangeGuid

Например, следующая команда возвращает записи аудита для действий, выполненных в общем почтовом ящике группы обеспечения соответствия требованиям Contoso в период с августа 2020 г. по октябрь 2020 г.:

Search-UnifiedAuditLog -StartDate 08/01/2020 -EndDate 10/31/2020 -FreeText (Get-Mailbox complianceteam@contoso.onmicrosoft.com).ExchangeGuid

Дальнейшие действия

• Используйте MailItemsAccessed для исследования скомпрометированных учетных записей. Выполните более глубокое судебное исследование, если при устранении неполадок обнаруживается скомпрометированная учетная запись.
• Управление аудитом почтовых ящиков. Проверьте и измените параметры аудита почтовых ящиков, чтобы обеспечить запись необходимых действий.
• Экспорт, настройка и просмотр записей журнала аудита. Экспортируйте результаты исследования для документации по инцидентам или эскалации.