Tin tức

Mở rộng các khả năng của nhật ký giám sát hợp nhất (audit logs unified) trong Office 365 với Magnet AXIOM Cyber

Mở rộng các khả năng của nhật ký giám sát hợp nhất (audit logs unified) trong Office 365 với Magnet AXIOM Cyber

July 10, 2020

Bạn đang cần biết liệu người dùng đã xem một tài liệu cụ thể nào hoặc xóa một mục từ hộp thư của họ hay không? Trung tâm tuân thủ & bảo mật Office 365 là nơi có thể giúp bạn tìm kiếm nhật ký giám sát hợp nhất (audit logs) để xem hoạt động của người dùng và quản trị viên trong Office 365.

Với việc phát hành AXIOM Cyber ​​4.2, giờ đây người dùng có thể nhập nhật ký giám sát hợp nhất (audit logs) trong Office 365 được xuất thủ công từ Trung tâm bảo mật và tuân thủ của Microsoft vào hồ sơ của họ để phân tích. Trong các bản phát hành trước đây của AXIOM Cyber, người kiểm tra có thể thu thập dữ liệu trực tiếp từ các môi trường O365 thông qua live acquisition. Tuy nhiên chúng ta cũng hiểu rằng đôi lúc họ chỉ được cấp cho dữ liệu điều tra bất kể họ có khả năng tự thu thập trực tiếp những dữ liệu đó. Nhật ký giám sát hợp nhất khi đó trở nên vô cùng giá trị khi chúng giúp vạch ra những hành động/thao tác của người dùng trong môi trường Microsoft O365. Bằng việc sử dụng nhật ký  này, có thể dễ dàng biết được hành động của nhân viên từ thông tin đăng nhập, tệp được sao chép, xóa, chỉnh sửa hoặc chia sẻ. Trong bài viết này, chúng ta sẽ hướng dẫn xuất nhật ký giám sát ra khỏi Trung tâm bảo mật và tuân thủ và xem dữ liệu được phân tích bởi AXIOM như thế nào.

Tải O365 Audit Logs

Đầu tiên, truy cập protection.office.com và đăng nhập vào Security & Compliance Center của Office 365.

Nếu bạn không được cấp quyền, hệ thống sẽ lập tức thông báo rằng bạn cần nâng cao quyền của mình trước khi tiếp tục.

Tuy nhiên, nếu tài khoản của bạn có đủ quyền, bạn sẽ điều hướng xuống thanh menu bên trái để tìm kiếm “Search” và chọn “Audit Log Search”  như hình minh họa dưới đây. Bạn cũng có thể sử dụng protection.office.com/unifiedauditlog nếu không muốn điều hướng bằng thanh menu.

Bây giờ chúng ta chỉ cần tùy chỉnh tìm kiếm để lọc những thao tác của một người dùng trong tổ chức. Ví dụ, đối với cuộc điều tra này, chúng ta quan tâm đến những gì một cộng sự, Dante Grimes đã làm trong môi trường O365 của anh ấy trong tuần qua. Điều quan trọng là phải xác định được phạm vi/lĩnh vực mà cuộc điều tra đang đòi hỏi/hướng tới. Các bên liên quan chỉ yêu cầu thông tin xung quanh khi người dùng đăng nhập vào Microsoft Teams, hay họ muốn biết bất kỳ tệp nào mà người dùng đã truy cập trong một khung thời gian nhất định? Chúng ta có thể lọc dữ liệu này trước khi chúng ta chạy tìm kiếm trong Audit Log Search. Danh sách Activities bao gồm rất nhiều hoạt động khác nhau mà người dùng có thể thực hiện khi vận hành trong O365, tuy nhiên đối với điều tra, khi bạn cần càng nhiều thông tin càng tốt về những gì một người dùng cụ thể đang thực hiện, hãy chọn tùy chọn mặc định “Show results for all activities”.

Khi bạn đã truy vấn thành công dữ liệu của mình, chỉ cần chọn ô “Export results” ở góc trên bên phải của cửa sổ tìm kiếm và chọn “Download all results”. Hệ thống sau đó sẽ tạo ra một tệp cho các dữ liệu được xuất theo định dạng audloglog_ [date] .csv

Lúc này, chúng ta đã có CSV nhật ký kiểm toán hợp nhất của mình, chúng ta sẽ khởi chạy AXIOM Cyber ​​Process và tải bằng chứng để xử lý và phân tích.

Sau khi hoàn thành, điều tra viên có thể thực hiện nhanh chóng việc xem xét nhật ký giám sát với AXIOM Cyber. Như bạn có thể thấy bên dưới, chúng ta có thể sắp xếp các bản ghi dựa trên hành động để thu hẹp trọng tâm của chúng ta. Chúng ta cũng có thể sử dụng bộ lọc thời gian tương quan của AXIOM để hiểu rõ hơn về tất cả các thay đổi xảy ra với bằng chứng của chúng ta trong một khung thời gian nhất định. Trong Details Panel (Bảng chi tiết), chúng ta thấy các thông tin như Địa chỉ IP của người dùng, Object ID đối tượng của tập tin nghi vấn, Tên tệp gốc và dữ liệu thô từ Log để tham chiếu.

Nguồn: https://www.magnetforensics.com/blog/expanded-office-365-unified-audit-log-capabilities-with-axiom-cyber/?utm_source=Digital_Campaign&utm_medium=LinkedIn&utm_campaign=Trial&utm_audience=Corporate&fbclid=IwAR0q0M9NBtR2sEgLYUj716Plene9IEOMJUmbWr1Yd2gyUjyTnsbqBQyDc40

Share