OMS Office 365 管理方案現已公開預覽

概要: 宣布 Office 365 管理方案的公開預覽版本。

有了 Office 356 方案,您可以執行以下幾種管理活動:

  • 監視使用者活動: 在您的 Office 365 帳號上監視使用者活動來分析使用模式並定義行為模式。例如,您可以獲取特定的使用場景,像是分享在您組織外或是最受歡迎的 SharePoint 網站的文件。
  • 監視管理活動: 用來追蹤配置的改變或是高權限的操作。
  • 偵測和調查不需要的用戶行為: 此功能可以依照您的公司需求做設定。
  • 展現稽核與合規性: 例如,您可以監視機密文件的文件訪問操作,使您在稽核與合規性過程得到幫助。
  • 執行故障排除:藉由您組織中 Office 365 活動的數據,並使用 OMS 搜尋來執行。

概觀

Office 365 方案讓您能夠完整的看到您 Office 365 的使用者活動。

為 Office 365 收集的數據是建立在 Office 365 管理活動 API 現有功能的基礎上的。現在,此 API 包含了對 Exchange、SharePoint、Azure Active Directory 的管理活動。

OPERARTIONS 的部分提供您所有受監視的 Office 365 訂閱中活躍用戶的資訊。

EXCHANGE 的部分會顯示出 Exchange 伺服器活動的細項,像是 Add-Mailbox Permission 或是 Set-Mailbox

SHAREPOINT 的部分會顯示使用者在 SharePoint 文件上執行最多的活動。當您向下拉,記錄搜尋頁面會顯示這些活動的詳細資訊,像是目標文件和此活動的所在位置。例如,有一 File Accessed 事件,您可以看到被讀取的文件、相關的帳戶名稱、和 IP 位址。

AZURE ACTIVE DIRECTORY 的部分包含了最多使用者的活動,像是 Reset User Password 和 Login Attempts。當您向下拉,將可以看到這些活動的詳細資訊像是結果狀態。若您想要監視 Azure AD 中的可疑活動時,這將會很有幫助。

Office 365 方案的警示與自訂

OMS 中的 Office 365 方案能夠讓您快速且有效率的搜尋 Office 365 使用者活動。雖然您可以利用 OMS 中的記錄搜尋功能來查看,在 Office 365 方案中您可以透過超過50種不同的工作負載來查看您 Office 365 活動的詳細資訊,並可以在方案中的 範例搜尋 來查看一些案例。

有了為您公司量身製作的自訂搜尋指令後,您可以為這些指令新增警示,並使其顯示在 警示管理 方案中。這能幫助您同時在 OMS 中監視 Office 365 的警示和其他警示。

您也可以將您喜歡的 Office 365 搜尋指令釘到 我的儀表板

將 Office 365 數據與其他種類資料相關聯

您可以藉由將 Office 365 數據與其他資料相關聯來擴展您搜尋的能力。所有 Office 365 的使用者活動都包含了一個 Client IP 域,它會顯示用來執行運算的 IP 位址。當您想要調查一個事件時,您就可以利用 ClientIP 域來與其他 OMS 中包含 IP 位址的資料相關聯。

除了 IP 資訊外,一些 Office 活動像是 Exchange Mailbox 作業,在 ClientInfoString 或 ClientMachineName 域底下都有客戶端機器資料。有了這些領域,您便可以識別一個 Office 365 中的問題是何時起緣於特定的客戶端。當您可以辨識出造成問題的客戶端,您便可以更深入調查在客戶端的問題。

開始使用

  1. 前往方案庫並加入 Office 365 方案。加入後會自動在概觀中加入一個 Office 365 的方塊。
  2. 到 OMS 概觀中找到新加入的 Office 365 方案。
  3. 為了看到傳入的 Office 365 數據,直接點選此方塊,畫面會自動跳到設定中的 Connected Sources
  4. 看到 Office 365 欄位。
  5. 按下 [Connect Office 365] 的按鈕。接著便會跳出登入視窗。
  6. 在登入視窗中,為您的訂閱輸入您的管理認證。
  7. 登入視窗關閉後,您可以在設定中看到如下圖的帳戶列表即完成。

在您成功加入 Office 365 方案並成功將 OMS 工作區連結到您的 Office 365 帳戶後,您將會看到約三到四小時的初始數據傳入。在初始數據傳入後,經過幾分鐘您便可以在方案中看到活動資料。

搜尋指令範例:

以下是一些利用您 Office 365 方案監視功能的範例搜尋指令。

  • 計算您 Office 365 中的所有操作:

    Type = OfficeActivity | measure count() by Operation

    這是一個對 Office 工作負載的綜觀。若您想要針對特定工作負載(像是 SharePoint) 來查看,您可以透過過濾來查詢。

  • SharePoint 網站的用量:

    Type=OfficeActivity OfficeWorkload=sharepoint | measure count() as Count by SiteUrl | sort Count asc

    您可以辨識出空閒的 SharePoint 網站和最受歡迎的網站。

  • 按用戶類型查詢文件讀取操作:

    Type=OfficeActivity OfficeWorkload=sharepoint Operation=FileAccessed | measure count() by UserType

    當一個敏感的文件檔案被非預期的使用者讀取時這能幫助您追蹤。

  • 針對特定關鍵字做搜尋:

    Type=OfficeActivity OfficeWorkload=azureactivedirectory “CigdemTest

    您可能會想利用鍵盤來搜尋 Office 365 資料。例如:現在在 Azure AD 中建立一個名為 “CigdemTest”的群組。您便可以利用上方的指令來搜尋與此群組相關的所有活動。 

  • 在 Exchange 監視外部動作:

    Type=OfficeActivity OfficeWorkload=exchange ExternalAccess = true

    此搜尋指令會回傳由您組織外部人員所執行的操作,像是資料中心人員、資料中心服務帳戶、或是委託的管理員等。