Unified Audit Log (UAL) on Microsoft 365:n keskeinen tietoturvaominaisuus, joka tallentaa käyttäjien ja järjestelmänvalvojien toimia eri M365-ympäristön palveluissa. Lokit auttavat tietoturvapoikkeamien selvittämisessä, sisäisissä tarkastuksissa ja lakisääteisten vaatimusten täyttämisessä. Auditointi ei kuitenkaan ole kaikissa ympäristöissä automaattisesti käytössä, joten sen tila kannattaa tarkistaa ja tarvittaessa ottaa käyttöön. Tässä artikkelissa opastamme vaihe vaiheelta, kuinka se tehdään.
Miksi lokitus kannattaa ottaa käyttöön?
Microsoft 365:n auditointiloki ei ole kaikissa ympäristöissä automaattisesti käytössä. Jos organisaatiosi Microsoft 365 -tilaus on luotu ennen vuoden 2019 alkua, oletusasetuksissa auditointi voi olla pois päältä. Siksi on tärkeää tarkistaa, onko lokitus käytössä juuri teidän ympäristössänne.
Lokitietojen avulla voit seurata käyttäjien toimintaa eri Microsoft 365 -palveluissa, kuten Outlookissa, SharePointissa, OneDrivessa ja Teamsissa. Lokien avulla voidaan esimerkiksi tunnistaa, kuka on avannut, muokannut tai poistanut tiedostoja. Lokitiedot ovat olennaisia tietoturvapoikkeamien selvittämisessä sekä sisäisten tarkastusten ja lakisääteisten vaatimusten, kuten GDPR:n, täyttämisessä.
Auditointilokin oletussäilytysajat ovat seuraavat:
• Ennen 17.10.2023 luodut tiedot säilytetään 90 päivän ajan
• 17.10.2023 ja sen jälkeen luodut tiedot säilyvät 180 päivää
Tämä muutos parantaa mahdollisuuksia tehdä pidempiaikaista valvontaa ja jälkiselvityksiä tietoturvapoikkeuksissa.
Kuinka otan lokituksen käyttöön?
On helppo varmistaa, että lokitus on kytketty päällä organisaation Microsoft 365 tilauksessa.
Kun sinulla on järjestelmänvalvojan tai tietoturvahallinnan (Compliance) oikeudet Microsoft 365:ssä, tarkistuksen voi tehdä seuraavasti:
Avaa Microsoft Purview -portaali
- Siirry selaimessa osoitteeseen: https://purview.microsoft.com/ (Ulkoinen linkki)
- Valitse vasemmalta Audit (Valvonta) -välilehti. Jos Audit välilehteä ei näy, valitse Solutions ja sen alta Audit.
Jos auditointi ei ole vielä päällä, näet painikkeen:
“Start recording user and admin activity”
Klikkaa sitä ottaaksesi lokitus käyttöön organisaation Microsoft 365 tilauksessanne.
Tämän jälkeen järjestelmä alkaa kerätä tapahtumatietoja. Ensimmäiset lokit voivat näkyä portaalissa noin tunnin kuluttua. Huomioi, että lokit alkavat kerääntyä vasta aktivoinnin jälkeen. Tietoja ei voida hakea ajalta ennen auditoinnin käynnistämistä. Ensimmäiset tapahtumatiedot näkyvät tyypillisesti noin 60 minuutin kuluttua. Siksi on tärkeää, että lokitietojen kerääminen on aloitettu ennen kuin niitä tarvitaan esimerkiksi tietomurtotutkintaa varten.
Kun auditointi on otettu käyttöön Microsoft Purview -portaalissa, organisaatiosi käyttäjien ja järjestelmänvalvojien toiminta tallennetaan auditointilokiin ja säilytetään automaattisesti 180 päivän ajan. Auditointitietojen säilytysaika alkaa, kun tiedot lisätään auditointilokiin, ja säilytys määräytyy auditointilokin säilytyskäytäntöjen sekä käyttäjille määritettyjen lisenssien perusteella.
Voit vielä tarkistaa tilan PowerShellillä (valinnainen)
Jos haluat varmistaa, että auditointi toimii, voit käyttää PowerShelliä:
- Avaa PowerShell ja kirjoita:
#Connect-ExchangeOnline
#Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
Jos tulos on True, auditointi on käytössä.
Kun auditointi on käytössä, voit hakea lokitietoja seuraavasti:
- Avaa Audit-näkymä Purview-portaalissa.
- Voit hakea tietoa käyttäjän, ajankohdan tai toiminnon perusteella.
- Voit tallentaa tulokset Exceliin (CSV-muotoon).
Yhteenveto
Tietoturvapoikkeamien tai muiden tapahtumien tutkinta Microsoft 365 -ympäristössä on lähes mahdotonta, jos lokitus ei ole käytössä Microsft 365 -tilauksessa. Unified Audit Login käyttöönotto Microsoft 365:ssä edellyttää, että käyttäjällä on tarvittavat järjestelmänvalvojan tai tietoturvahallinnan roolit.
Auditointi otetaan käyttöön Microsoft Purview -portaalissa, jossa voidaan hallita auditointiasetuksia ja käynnistää tapahtumatietojen tallennus. Käyttöönoton jälkeen järjestelmä alkaa tallentaa käyttäjien ja järjestelmänvalvojien toimia automaattisesti.
Auditoinnin tilan voi halutessaan tarkistaa PowerShellin avulla. Kun auditointi on aktiivinen, lokitietoja voidaan hakea, analysoida ja viedä jatkokäsittelyyn esimerkiksi Exceliin CSV-muodossa. Tämä mahdollistaa tehokkaan valvonnan, tietoturvapoikkeamien selvittämisen ja lakisääteisten velvoitteiden täyttämisen.