OFİS 365 Log Yönetimi

Article
1/17/2024

Son yıllarda sistem yöneticileri artık kabuklarını kırarak güvenlik tarafında mecburen donanmak ve bilgi sahibi olmak zorunda kaldılar. Bunları tetikleyen nedenler arasında siber saldırılar ve standartlara uyum sebebi gelmektedir. Bu nedenle artık bir çok sistem üzerindeki hareketlerin kayıt altına alınması ve buna göre izleme ve aksiyon alınması gereksinimi doğmuştur. Bu makalemizde ofis üzerinde admin ve kullanıcı tarafında oluşan log aksiyonlarını ele alıyor olacağız.

Ofis 365 üzerinde audit yapabilmek için defaultta kapalı olan ayarları aktif etmemiz gerekmektedir. Ayarları aktif ettikten sonra log izlemesi yapabiliriz. Şimdi adımlarımıza gelelim. Öncelikle yönetici panelimizi açalım. Açılan ekranımızda Compliance menüsüne girelim.

https://rizasahan.files.wordpress.com/2016/09/110.jpg?w=540&h=347

Bu ekranımızda güvenlikle ilgili bir çok işlemler yapabilmekte rapor alabilmekte MDM yönetimi gibi komplex işlemler yapabilmekteyiz. BuradaArama ve araştırma menüsüne girelim.

https://rizasahan.files.wordpress.com/2016/09/25.jpg?w=540&h=348

Ekranımızda audit özelliğini açabilmemiz için Kullanıcı ve Yönetici etkinliklerini kaydetmeye başla linkine tıklayalım.

https://rizasahan.files.wordpress.com/2016/09/31.jpg?w=540&h=322

Gelen uyarıda audit özelliğini etkinleştime konusunda bir uyarı gelmektedir. Gelen uyarıda **Etkinleştir **butonuna tıklayalım.

https://rizasahan.files.wordpress.com/2016/09/41.jpg?w=540&h=211

Kuruluş ayarlarında bir güncelleme gerekmekte bu nedenle gelen uyarıyaEVET butonuna tıklayarak yanıt verelim.

https://rizasahan.files.wordpress.com/2016/09/51.jpg?w=540&h=259

Ayarımız organizasyon bazında aktif ediliyor.

https://rizasahan.files.wordpress.com/2016/09/61.jpg?w=540&h=257

Şu anda ayarımız aktif edildi. Bir kullanıcı için tüm aktiviteleri izlemek için gerekli bilgileri giriyor ve **Ara **butonuna basıyorum.

https://rizasahan.files.wordpress.com/2016/09/81.jpg?w=540&h=511

Fakat hiçbir aktivite yok. Ayarı yeni aktif ettiğimiz için biraz beklememiz gerekmekte. Veya bu işlemi powershell üzerinden hızlandırmamız gerekmektedir.

Powershell ile bağlantı sağlayıp ayarlarımızı aşağıdaki komut ile kontrol edelim.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Format-List Name,Audit*

Şu anda görüldüğü gibi Audit Enable : False durumda yani ayarlarımız kullanıcılarımıza yansımamış. Bunun için bekleyebilir veya durumu powershell ile tetikleyebiliriz.

https://rizasahan.files.wordpress.com/2016/09/91.jpg?w=540&h=188

Aşağıdaki komutu kullanarak Organizasyon bazında tüm auditleri açalım.

Get-mailbox -Filter {(RecipientTypeDetails -eq ‘UserMailbox’)} | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

https://rizasahan.files.wordpress.com/2016/09/101.jpg?w=540&h=58

Dilersek sadece istediğimiz kullanıcılara ve istediğimiz auditlere göre seçim yapabiliriz. Bu işlem için aşağıdaki sayfadaki komut setlerinden yararlanabilirsiniz.

https://technet.microsoft.com/en-us/library/dn879651.aspx

Şimdi tekrardan aşağıdaki komut setimizi çalıştırdığımızda auditlerin tüm kullanıcılar için aktif olduğunu görebilmekteyiz.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Format-List Name,Audit*

https://rizasahan.files.wordpress.com/2016/09/111.jpg?w=540&h=312

Şimdi tekrardan iki kullanıcı seçip bunların tüm aktivitelerini izlediğimizde loğların gelmeye başladığını görebilmekteyiz.

https://rizasahan.files.wordpress.com/2016/09/121.jpg?w=540&h=261

Şimdi birkaç aksiyon yapıyorum. Bir kullanıcı ekliyorum.

https://rizasahan.files.wordpress.com/2016/09/131.jpg?w=540&h=618

Kullanıcımız eklendi.

https://rizasahan.files.wordpress.com/2016/09/141.jpg?w=540&h=188

Gerekli aksiyonlar ekranımıza yansıdı.

https://rizasahan.files.wordpress.com/2016/09/151.jpg?w=540&h=247