Exchange Online – o que esperar nas mudanças em Auditing


 
Por: Caio Ribeiro Cesar
 
Todas as informações neste artigo são visiveis em sites externos da Microsoft. Informações internas não serão divulgadas até a release do novo modelo de Auditing do Exchange Online e O365. Funcionalidades específicas podem ser alteradas a qualquer momento após o release do update.
 
Algumas pessoas já sabem, mas podemos utilizar o site http://success.office.com/en-us/roadmap para acompanhar as novidades do Office 365:
 

a)      Launched – criamos, testamos e instalamos a solução no datacenter. Pode demorar um tempo para que o seu tenant possua o build com a atualização específica, porém a maioria dos tenants já possui a atualização.

b)     Rolling Out – criamos, testamos e instalamos a solução no datacenter para alguns tenants.

c)      In development – estamos criando e testando a solução para a atualização geral.

d)     Cancelled – atualização cancelada.

e)     Previously Released – updates instalados para todos os tenants.

 
Se fizermos um filtro em “audit”, temos o resultado abaixo
 
clip_image002
*Feito em 11 Nov 2015, o resultado irá variar de acordo com a data.
 
Ou seja, está em desenvolvimento um novo modelo de user reports e compliance administrator que irá facilitar a vida dos administradores.
 
Este update foi anunciado em um blog do time de produto, em que discutimos que a nova release terá:
 
– Office 365 activity report
 
A nova interface gráfica será integrada entre produtos. Podemos procurar atividades de um usuário pelas ações feitas em Exchange Online, Sharpoint Online, Azure AD, OneDrive (arquivos) e fazer o download destas ações diretamente da ferramenta como .csv. Anteriormente, para possuir o relatório em .csv, tínhamos que fazer pelo PowerShell.
 
Além da interface possuir ações integradas que facilita a vizualicação para o administrador, os recursos de filtro podem ser aplicados para data, usuário, arquivo e atividade efetuada.
 
– Melhoria nas funcionalidades de log
 
Eventos de produtos são armazenados no mesmo log. Isto significa que são aproximadamente 150 tipos de eventos que serão logados pela ferramenta.
 
Também foi anunciado que o time pretende adicionar mais funcionalidades em Auditing como a adição de logs de Skype for Business, Yammer e mais atividades feitas no próprio O365.
 
– Melhorias em Powershell
 
O comando “Search-UnifiedAuditLog” faz com que o search seja feito diretamente no storage que possui todos os logs dos produtos e exportar os resultados para um arquivo.
 
– API
 
Customização. Empresas podem criar seus próprios programas que façam a integração com Auditing.
 
Podemos ver também as propriedades que o relatório terá no site do technet. Algumas das ações monitoradas que serão úteis para administradores de Exchange Online são:
 
ClientIP
O endereço IP que efetuou o acesso da mailbox.
ClientProcessName
Informações do client de email utilizado para acessar a mailbox em questão.
CreationTime
Horário em que o acesso foi realizado.
ExternalAccess
Em Exchange Admin, se o comando de gerência foi executado por algum admin da sua organização ou por um administrador externo.
LogonType
O tipo de mailbox que efetuou o acesso. Tais como: administrador, owner, delegate, serviço de transporte, conta de outros serviços ou administrador delegado.
MailboxGuid
O MailboxGuid da mailbox que foi acessada.
MailboxOwnerUPN
O UPN da mailbox que foi acessada.
ObjectID
Para ações de gerência em Exchange Online, o objeto que foi alterado no cmdlet executado pelo administrador.
Operation
A atividade em si. Maiores informações abaixo.
Path
O path da pasta que foi acessada.
Parameters
Parametros de comandos executados pelo administrador de Exchange Online.
Subject
O titulo da mensagem que foi acessada.
UserID
Informações do usuário que fez o acesso na mailbox.
Uma dais informações mais importantes acima, está o “LogonType”. Podemos ver que iremos monitorar entradas de owner, o que antes não era possível no Exchange Online.
 
Conforme indicado pelo time de produto, teremos um storage somente para logs de auditoria – o que fez com que esta mudança fosse possível, já que antes deste update, os logs de mailbox audit eram armazenados localmente nas mailboxes (dificultando a gerência de data para mailbox audit logs).
 
Quanto as operações que serão monitoradas, temos:
 
Event
Description
Admin
Delegate
Owner
Copy
An item is copied to another folder.
Yes
No
No
Create
An item is created in the mailbox (for example, a message is sent or received). Note that folder creation isn't audited.
Yes
Yes
Yes
FolderBind
A mailbox is accessed by an admin or delegate. Use this event to identify when a mailbox is accessed or opened by someone other than the owner.
Yes
Yes
No
HardDelete
An item is permanently deleted (purged) from the Recoverable Items folder.
Yes
Yes
Yes
MailboxLogin
The user signs in to their mailbox.
No
No
Yes
MessageBind
An item is accessed in the reading pane or opened.
Yes
No
No
Move
An item is moved to another folder.
Yes
Yes
Yes
MoveToDeletedItems
An item is deleted and moved to the Deleted Items folder.
Yes
Yes
Yes
SendAs
A message is sent using Send As permissions.
Yes
Yes
No
SendOnBehalf
A message is sent using Send on Behalf permissions.
Yes
Yes
No
SoftDelete
An item is permanently deleted or is deleted from the Deleted Items folder; in both cases, the item is moved to the Recoverable Items folder.
Yes
Yes
Yes
Update
An item's properties are updated.
Yes
Yes
Yes
 
De novas funcionalidades (além de poder monitorar o owner da mailbox), temos os eventos “MessageBind” e “Create”.
 
Além de utilizar a interface gráfica para obter os resultados, administradores podem utilizar o powershell ou customizar seus próprios programas com o API do O365.
 
Os parâmetros disponíveis no comando “Search-UnifiedAuditLog” estão disponíveis neste site.
 
Você pode acompanhar o status desta atualização pelo site do roadmap, ou simplesmente validando no seu portal se a opção abaixo já está habilitada:
 
clip_image004
 
Comments (0)

Skip to main content