Изучение действий с помощью аудита (Премиум)

  • 10 мин

Аудит Microsoft Purview (Премиум) предлагает расширенные функции, позволяющие подробно и расследовать действия пользователей в службах Microsoft 365. Эта версия полезна для судебно-медицинской экспертизы, помогая организациям подробно анализировать инциденты безопасности и нерегулярные шаблоны доступа.

После обнаружения необычных действий в электронных медицинских записях (EHR) в нашей сети медицинских учреждений, ИТ-группа по соответствию теперь обращается к аудиту (Премиум). Их цель заключается в проведении тщательных расследований, чтобы обеспечить все доступ к данным пациента тщательно и определить любые потенциальные нарушения.

Здесь вы узнаете:

  • Применение функций аудита (Премиум) для подробных исследований.
  • Журнал и анализ доступа к электронной почте с помощью MailItemsAccessed.
  • Интерпретирует большие объемы данных аудита и управляет ими.
  • Проводите судебно-медицинский анализ для выявления потенциальных нарушений.
  • Документируйте результаты для удовлетворения соответствия требованиям и помощи в стратегиях реагирования.

Обзор аудита (Премиум)

Аудит Microsoft Purview (Премиум) улучшает возможности аудита (стандартный), добавляя расширенные функции, адаптированные для более глубоких и расширенных требований к аудиту. К этим усовершенствованиям относятся:

  • Расширенное хранение данных: предлагает срок хранения по умолчанию до одного года для таких служб, как идентификатор Microsoft Entra, Exchange, OneDrive и SharePoint. Для расширенных периодов хранения до 10 лет требуется дополнительная лицензия на надстройку.
  • Настраиваемые политики хранения. Позволяет задать время хранения пользовательского журнала аудита на основе службы, определенных действий или действий пользователей. Эта гибкость помогает удовлетворить конкретные потребности в соответствии с требованиями к соответствию и расследованию.
  • Повышенная пропускная способность API: пользователи аудита (премиум) получают более высокий доступ к API действий управления Office 365, что позволяет быстрее и эффективнее получать данные.
  • Интеллектуальная аналитика: предоставляет подробные представления о действиях пользователей, помогая выявить потенциальные нарушения и понять поведение пользователей в таких службах, как Exchange Online и SharePoint Online.

Аудит (Премиум) повышает безопасность с помощью расширенных функций, что упрощает работу организаций с инцидентами. Далее мы покажем, как использовать аудит (Премиум) для просмотра скомпрометированных учетных записей, используя подробные журналы и средства анализа для решения угроз безопасности.

Изучение скомпрометированных учетных записей с помощью Аудит Microsoft Purview (Премиум)

MailItemsAccessed — это действие аудита в Аудит Microsoft Purview (Премиум), предназначенное для предоставления подробных записей о том, как и когда осуществляется доступ к элементам электронной почты. Эта функция важна для организаций для безопасного и эффективного управления конфиденциальными данными.

Общие сведения о синхронизации и привязке доступа

  • Доступ к синхронизации: часто возникает, когда пользователи загружают сообщения электронной почты с помощью классических клиентов, таких как Outlook. Вместо записи каждого сообщения электронной почты отдельно аудит (Премиум) регистрирует одно событие для всех сообщений электронной почты, скачанных во время сеанса, упрощая управление журналами.
  • Привязка доступа: возникает, когда пользователь активно считывает или взаимодействует с отдельным сообщением электронной почты. Аудит (Премиум) фиксирует каждое взаимодействие, включая сведения, такие как уникальный идентификатор электронной почты, InternetMessageId, обеспечивая точное отслеживание доступа к данным.

Управление томом журнала аудита

Exchange Online использует регулирование для управления объемом журналов MailItemsAccessed. Если почтовый ящик регистрирует более 1000 событий MailItemsAccessed в течение 24 часов, ведение журнала для этого почтового ящика приостановлено на оставшуюся часть дня для поддержания производительности. Некоторые важные замечания о регулировании

  • Регулирование влияет менее чем на 1% почтовых ящиков.
  • Он приостанавливает ведение журнала только для MailItemsAccessed, а не для других действий.
  • Регулирование выполняются только операции привязки; Действия синхронизации не затрагиваются.
  • Отсутствующие журналы из-за регулирования могут указывать на неподписанный доступ в течение этого времени.

Сценарий. Изучение использования MailItemsAccessed в параметре здравоохранения

В ответ на наблюдаемые необычные шаблоны доступа к электронным записям здравоохранения (EHR) в сети медицинских учреждений, группа соответствия требованиям использует Аудит Microsoft Purview (Премиум) для тщательного изучения и обеспечения соответствия законам о защите данных о работоспособности. Вот как они продолжаются:

  1. Настройка и сбор данных:

    • Сначала определите почтовые ящики, связанные с пользователями, имеющими доступ к конфиденциальным данным пациента, и определите период времени обнаружения подозрительных действий.
    • Search-UnifiedAuditLog Search-MailboxAuditLog Используйте командлеты для извлечения записей MailItemsAccessed в течение предполагаемого периода.
    Search-UnifiedAuditLog -StartDate "2020-01-06" -EndDate "2020-01-20" -UserIds "user1, user2" -Operations MailItemsAccessed -ResultSize 1000

  2. Проверьте регулирование:

    • Учитывая высокий уровень конфиденциальности данных, проверьте наличие каких-либо признаков регулирования, которые могут предложить периоды приостановки ведения журнала и несанкционированного доступа могут быть незаписанными.
    Search-UnifiedAuditLog -StartDate "2020-01-06" -EndDate "2020-01-20" -UserIds "user1, user2" -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"IsThrottled","Value":"True"*'} | FL

  3. Анализ действий синхронизации и привязки:

    • Изучите степень доступа к данным, фокусируя внимание на том, были ли загружены все папки, содержащие конфиденциальную информацию о пациенте (синхронизация) или определенные конфиденциальные сообщения электронной почты (привязка).
    • Проверка действия синхронизации:
    Search-UnifiedAuditLog -StartDate "2020-01-06" -EndDate "2020-02-20" -UserIds "user1, user2" -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FL
    • Проверка действия привязки:
    Search-UnifiedAuditLog -StartDate "2020-01-06" -EndDate "2020-01-20" -UserIds "user1, user2" -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FL

  4. Контекстный анализ доступа:

    • Сравните IP-адреса и идентификаторы сеансов, чтобы отделить обычные действия пользователей от необычного или несанкционированного доступа. Это помогает определить особенности того, как и потенциально, почему был получен доступ.

  5. Судебно-медицинская экспертиза и отчеты:

    • Для каждого экземпляра, на котором был доступ к электронной почте (доступ к привязке), определите затронутые сообщения электронной почты с помощью InternetMessageId. Проверьте, содержат ли эти электронные письма конфиденциальные данные пациента.
    • Запишите все выводы четко, чтобы убедиться, что они соответствуют правилам соответствия здравоохранения. Используйте эту документацию для управления потенциальными последствиями и укрепления мер защиты данных.

Управление повторяющимися записями аудита

В средах с высоким уровнем активности повторяющиеся записи аудита могут загромождать и усложнять анализ журналов. Аудит (Премиум) фильтрует повторяющиеся записи для одних и те же операции привязки, которые происходят в течение часа, чтобы упростить журналы аудита. Вот как обрабатываются дубликаты:

  • Операции синхронизации фильтруются по интервалам в один час, если не обнаружены различные изменения в свойствах ключа.

  • Операции привязки создают новую запись аудита, только если определенные свойства отличаются от ранее зарегистрированных операций в течение одного часа. Эти свойства включают в себя:

    • ClientIPAddress: IP-адрес, из которого был получен доступ к почтовому ящику.
    • ClientInfoString: сведения об используемом клиенте и протоколе.
    • ParentFolder: расположение в почтовом ящике.
    • Logon_type. Различает владельца, администратора или делегирования доступа.
    • MailAccessType: указывает, была ли операция привязкой или синхронизацией.
    • MailboxUPN и User: Удостоверение почтового ящика и пользователя, обращаюющегося к нему.
    • SessionId: помогает различать различные сеансы доступа, предоставляя четкую временную шкалу действий.

Эта фильтрация гарантирует, что журналы остаются управляемыми и значимыми, уменьшая избыточность без потери детализации, необходимой для тщательного изучения.

Контекстный анализ записей аудита

Различие между законными действиями пользователей и потенциальными нарушениями безопасности требует понимания контекста каждого доступа. Аудит (Премиум) позволяет глубоко анализировать шаблоны и контексты доступа. Например, сравнивая идентификаторы сеансов и IP-адреса в записях аудита, можно различать типичное поведение пользователя и потенциальный несанкционированный доступ. Это важно для выявления инцидентов безопасности, когда злоумышленник может получить доступ к почтовому ящику одновременно с законным пользователем.

Вот как можно использовать контекстные данные для отслеживания и понимания шаблонов доступа:

  • Определение и сравнение контекстов доступа. Ищите варианты свойств, таких как ClientInfoString и SessionId , среди записей аудита, чтобы определить необычные шаблоны доступа.
  • Анализ подробных свойств: свойства, такие как ClientIPAddress и InternetMessageId , предоставляют конкретные сведения о каждом экземпляре доступа, помогая в судебно-судебном анализе.

Интегрируя эти сведения в исследования, вы можете повысить точность оценки безопасности и убедиться, что ваши ответы на инциденты информированы и эффективны.

Проверка знаний

Выберите оптимальный ответ на приведенный ниже вопрос.