Effettuare ricerche nel log di controllo per eventi in Microsoft Teams

  • Articolo
  • Si applica a:
    Microsoft Teams

Importante

L'interfaccia di amministrazione di Microsoft Teams sostituisce gradualmente l'interfaccia di amministrazione Skype for Business e le impostazioni di Teams vengono migrate dal interfaccia di amministrazione di Microsoft 365. Se è stata eseguita la migrazione di un'impostazione, verrà visualizzata una notifica e quindi verrà indirizzata alla posizione dell'impostazione nell'interfaccia di amministrazione di Teams. Per altre informazioni, vedere Gestire Teams durante la transizione all'interfaccia di amministrazione di Teams.

Il log di controllo consente di analizzare attività specifiche nei servizi Microsoft. Per Microsoft Teams, ecco alcune delle attività controllate:

  • Creazione di team
  • Eliminazione di team
  • Aggiunta di un canale
  • Canale eliminato
  • Impostazione del canale cambiata

Per un elenco completo delle attività di Teams controllate, vedere Attività di Teams nel log di controllo.

Nota

Anche gli eventi di controllo dai canali privati vengono registrati così come sono per i team e i canali standard.

Attivare il controllo in Teams

Prima di esaminare i dati di controllo, è necessario attivare il controllo nel portale di Microsoft Purview o nel Portale di conformità di Microsoft Purview. Per altre informazioni, vedere Attivare o disattivare il controllo.

Importante

I dati di controllo sono disponibili solo dal punto in cui è stato attivato il controllo.

Recuperare i dati di Teams dal log di audit

Per recuperare i log di controllo per le attività di Teams, usare il portale di Microsoft Purview o il portale di conformità. Per istruzioni dettagliate, vedere Cercare nel log di controllo.

Importante

I dati di controllo sono visibili nel log di controllo solo se il controllo è attivato.

Il periodo di tempo in cui un record di controllo viene conservato e ricercabile nel log di controllo dipende dalla sottoscrizione di Microsoft 365 o Office 365 e in particolare dal tipo di licenza assegnata agli utenti. Per altre informazioni, vedere la descrizione del servizio Centro conformità & sicurezza.

Suggerimenti per la ricerca nel log di controllo

Ecco i suggerimenti per cercare le attività di Teams nel log di controllo.

  • È possibile selezionare attività specifiche da cercare facendo clic sulla casella di controllo accanto a una o più attività. Se è selezionata un'attività, è possibile selezionarla per annullare la selezione. È anche possibile usare la casella di ricerca per visualizzare le attività contenenti la parola chiave digitata.

  • Per visualizzare gli eventi per le attività eseguite usando i cmdlet, selezionare Mostra risultati per tutte le attività nell'elenco Attività . Se si conosce il nome dell'operazione per queste attività, digitarlo nella casella di ricerca per visualizzare l'attività e quindi selezionarla.

  • Per cancellare i criteri di ricerca correnti, selezionare Cancella tutto. L'intervallo di date torna impostato sul valore predefinito corrispondente agli ultimi sette giorni.

  • Se vengono trovati 5.000 risultati, è probabile che ci siano più di 5.000 eventi che soddisfano i criteri di ricerca. È possibile perfezionare i criteri di ricerca ed eseguire nuovamente la ricerca per restituire un minor numero di risultati oppure esportare tutti i risultati della ricerca selezionando Esporta>scarica tutti i risultati. Per istruzioni dettagliate sull'esportazione dei log di controllo, vedere Cercare nel log di controllo.

Vedere questo video per l'uso della ricerca dei log audio. Partecipa ad Ansuman Acharya, un program manager di Teams, perché dimostra come eseguire una ricerca nel log di controllo per Teams.

Attività di Teams

Per un elenco di tutti gli eventi registrati per le attività utente e amministratore in Teams nel log di controllo di Microsoft 365, vedere:

API Office 365 Management Activity

È possibile usare l'API attività di gestione Office 365 per recuperare informazioni sugli eventi di Teams. Per altre informazioni sullo schema dell'API attività di gestione per Teams, vedere Schema di Teams.

Attribuzione nei log di controllo di Teams

Le modifiche di appartenenza a Teams (ad esempio utenti aggiunti o eliminati) apportate tramite Microsoft Entra ID, il portale di amministrazione di Microsoft 365 o Gruppi di Microsoft 365 API Graph verranno visualizzate nei messaggi di controllo di Teams e nel canale Generale con un'attribuzione a un proprietario esistente del team e non all'iniziatore effettivo dell'azione. In questi scenari, consultare Microsoft Entra ID o i log di controllo del gruppo di Microsoft 365 per visualizzare le informazioni pertinenti.

Usare Defender for Cloud Apps per impostare i criteri attività

Usando Microsoft Defender for Cloud Apps integrazione, è possibile impostare criteri di attività per applicare un'ampia gamma di processi automatizzati usando le API del provider di app. Questi criteri consentono di monitorare attività specifiche eseguite da vari utenti o di seguire tassi inaspettatamente elevati di un determinato tipo di attività.

Dopo aver impostato un criterio di rilevamento attività, inizia a generare avvisi. Gli avvisi vengono generati solo nelle attività che si verificano dopo la creazione dei criteri. Ecco alcuni scenari di esempio su come usare i criteri attività in Defender for Cloud Apps per monitorare le attività di Teams.

Scenario utente esterno

Uno scenario su cui tenere d'occhio, dal punto di vista aziendale, è l'aggiunta di utenti esterni all'ambiente Teams. Se gli utenti esterni sono abilitati, il monitoraggio della loro presenza è una buona idea. È possibile usare Defender for Cloud Apps per identificare potenziali minacce.

Criteri per monitorare l'aggiunta di utenti esterni

Lo screenshot di questo criterio per monitorare l'aggiunta di utenti esterni consente di assegnare un nome al criterio, impostare la gravità in base alle esigenze aziendali, impostarla come (in questo caso) una singola attività e quindi stabilire i parametri che monitoreranno in modo specifico solo l'aggiunta di utenti non interni e limiteranno questa attività a Teams.

I risultati di questo criterio possono essere visualizzati nel log attività:

Eventi attivati dai criteri degli utenti esterni

Qui è possibile esaminare le corrispondenze ai criteri impostati e apportare eventuali modifiche in base alle esigenze oppure esportare i risultati da usare altrove.

Scenario di eliminazione di massa

Come accennato in precedenza, è possibile monitorare gli scenari di eliminazione. È possibile creare un criterio che monitori l'eliminazione di massa dei siti di Teams. In questo esempio viene configurato un criterio basato su avvisi per rilevare l'eliminazione di massa dei team in un intervallo di 30 minuti.

Criteri che mostrano la configurazione di un criterio per il rilevamento dell'eliminazione del team di massa

Come illustrato nello screenshot, è possibile impostare molti parametri diversi per questo criterio per monitorare le eliminazioni di Teams, tra cui gravità, azione singola o ripetuta e parametri che lo limitano a Teams e all'eliminazione del sito. Questa operazione può essere eseguita indipendentemente da un modello oppure è possibile che sia stato creato un modello su cui basare questo criterio, a seconda delle esigenze dell'organizzazione.

Dopo aver stabilito un criterio che funziona per l'azienda, è possibile esaminare i risultati nel log attività quando vengono attivati gli eventi:

Screenshot degli eventi attivati dalle eliminazioni di massa

È possibile filtrare in base al criterio impostato per visualizzare i risultati di tale criterio. Se i risultati ottenuti nel log attività non sono soddisfacenti (ad esempio, si visualizzano molti risultati o nulla), è possibile ottimizzare la query per renderla più pertinente alle operazioni necessarie.

Scenario di avviso e governance

È possibile impostare avvisi e inviare messaggi di posta elettronica agli amministratori e ad altri utenti quando viene attivato un criterio attività. È possibile impostare azioni di governance automatizzate, ad esempio sospendere un utente o fare in modo che un utente accinga di nuovo l'accesso in modo automatizzato. Questo esempio mostra come un account utente può essere sospeso quando viene attivato un criterio attività e determina che un utente ha eliminato due o più team in 30 minuti.

Screenshot degli avvisi e delle azioni di governance per un criterio attività.

Usare Defender for Cloud Apps per impostare i criteri di rilevamento anomalie

I criteri di rilevamento anomalie in Defender for Cloud Apps forniscono analisi del comportamento degli utenti e delle entità (UEBA) e Machine Learning (ML) predefiniti, in modo da poter eseguire immediatamente il rilevamento avanzato delle minacce nell'ambiente cloud. Poiché sono abilitati automaticamente, i nuovi criteri di rilevamento anomalie forniscono risultati immediati fornendo rilevamenti immediati, indirizzando numerose anomalie comportamentali tra gli utenti e i computer e i dispositivi connessi alla rete. Inoltre, i nuovi criteri espongono più dati dal motore di rilevamento Defender for Cloud Apps, per velocizzare il processo di indagine e contenere minacce in corso.

Stiamo lavorando per integrare gli eventi di Teams nei criteri di rilevamento anomalie. Per il momento, è possibile configurare i criteri di rilevamento anomalie per altri prodotti Office e intervenire sugli utenti che corrispondono a tali criteri.