Microsoft Purview 감사 로그 (Standard)
Microsoft Purview 감사 로그에 대해서 알아보려고 해요
저 같은 경우 Microsoft Purview 감사 솔루션이라고 하면
아, 감사로그? 그거 그냥 켜놓고
뭐 안되거나 로그 확인할 필요 있으면 가서 보면 되는건가?
정도로만 생각했었거든요
원래도 중요했던 보안이지만, 최근들어 보안에 대한 관심도가 높아가고
해당 로그를 수집하여 고객이 원하는 형태로 가공하는 니즈가 많은 것 같아서 확인이 필요하다고 생각되었어요
Microsoft Purview 감사 솔루션 이란
조직의 보안 이벤트, 법적/내부 조사, 규정 준수 의무에 효과적으로 대응할 수 있도록 지원한다고 해요
Microsoft 365 서비스 및 솔루션의 사용자 및 관리자 작업이 통합 감사 로그에 캡쳐/기록 및 보존 돼요
Microsoft Purview 감사 솔루션 라이선스
Microsoft Purview 감사 솔루션 라이선스는 크게 Standard와 Premium으로 구분 할 수 있어요
Office 365 E5, Microsoft 365 E5
Microsoft 365 E5 Compliance
Microsoft 365 F5 Compliance / Security + Compliance
의 경우 Premium Audit 기능이 Enable 된다고 생각하면 돼요
기능 | 감사(Standard) | 감사(Premium) |
Enable By Default | ✔ | ✔ |
Thousands of Searchable Audit Events | ✔ | ✔ |
Audit search tool in the Microsoft Purview portal and compliance portal | ✔ | ✔ |
Search-UnifiedAuditLog cmdlet | ✔ | ✔ |
Export audit records to CSV file | ✔ | ✔ |
Access to audit logs via Office 365 Management Activity API | ✔ | ✔ |
180-day audit log retention Supported. | ✔ | ✔ |
1-year audit log retention | ✔ | |
10-year audit log retention | ✔ | |
Audit log retention policies | ✔ | |
Intelligent insights | ✔ |
위 기능 처럼 가장 큰 차이점은 로그를 저장하는 기한의 차이라고 생각할 수 있어요
주요 기능들은 동일하게 사용 가능하네요
Standard Audit의 로그 보존기한은 90일로 알고 있었는데 작년에 180일로 변경이 되었네요
감사 로그를 검색 할 수 있는 권한
Audit Manager, Audit Reader
감사 로그가 켜져 있는지 확인
엔터프라이즈 고객은 기본적으로 감사로그가 켜져 있다고 하지만
감사로그가 항상 꺼져 있는 것 만 보게 된 것 같네요
[Microsoft Purview 포탈] - [감사]
위 화면처럼 나오는 경우 감사로그가 켜져 있지 않은 경우에요
Connect-ExchangeOnline
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
UnifiedAuditLogIngestionEnabled : False
위는 파워쉘로 확인하는 방법 이에요
포탈에서 감사로그를 Enable 할 수도 있고, Shell을 이용해서 감사로그를 Enable 할 수 있어요
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
경고: 지정된 관리 감사 로그 구성 변경 사항을 적용하는 데 60분 정도 걸릴 수 있습니다.
파워쉘을 이용하여 감사로그를 Enable 했어요
위 처럼 감사 로그가 활성화 되서 검색을 할 수 있게 되었어요
실제로 데이터가 쌓이고 검색을 하기 위해 마음 편하게 하루 이틀정도 뒤에 진행하시는게 좋아요
감사로그 검색 테스트
제가 검색할 감사 로그는 다음과 같습니다
Teams 채널에 올린 파일 (완전중요한파일.pptx)를 다운로드 받은 사용자 리스트 확인
위 처럼 Teams 팀에 파일을 업로드 해놓은 상태고요
2개의 계정으로 다른 PC에서 다운로드를 진행했어요
위 조건으로 검색을 진행했어요
날짜 및 시간 범위(UTC) : 시간 포맷이 UTC 이므로 +9시간 해서 계산해주세요
활동 - 식별 이름 : 파일 다운로드 됨
파일, 폴더 또는 사이트 : 파일 명을 입력해주세요
감사 로그가 검색 상태로 추가 되고 검색이 완료되면 작업 상태가 "완료"로 변경 돼요
시간과 IP 주소(공인) 그리고 어떤 사용자가 파일을 다운로드 했는지 확인 할 수 있어요
해당 결과를 클릭해서 확인하면 어떠한 Client를 이용했는지
Ex) 브라우저, Mobile 등등
세부 내역 확인까지도 가능해요
위 내용을 파워쉘로도 동일하게 사용할 수 있어요
$FileDownloadedLog = Search-UnifiedAuditLog -StartDate 2024/04/23 -EndDate 2024/04/25 -Operations "FileDownloaded"
$FileDownloadDetails = $FileDownloadedLog.AuditData | ConvertFrom-Json | Select CreationTime,UserId,Operation, ObjectID,SiteUrl,SourceFileName,ClientIP
$FileDownloadDetails | Where -Property SourceFileName -EQ 완전중요한파일.pptx
CreationTime : 2024-04-24T00:27:39
UserId : infra03@o959.net
Operation : FileDownloaded
ObjectId : https://o95901.sharepoint.com/sites/o959720/Shared Documents/General/완전중요한파일.pptx
SiteUrl : https://o95901.sharepoint.com/sites/o959720/
SourceFileName : 완전중요한파일.pptx
ClientIP : 210.100.162.49
CreationTime : 2024-04-24T00:27:18
UserId : dev03@o959.net
Operation : FileDownloaded
ObjectId : https://o95901.sharepoint.com/sites/o959720/Shared Documents/General/완전중요한파일.pptx
SiteUrl : https://o95901.sharepoint.com/sites/o959720/
SourceFileName : 완전중요한파일.pptx
ClientIP : 211.178.39.244
기본적으로 사용하는 명령어는 Search-UnifiedAuditLog 에요
파워쉘은 정답이 없으니 필요하신 정보를 위해 얼마든지 수정해서 사용하면 됩니다!
'Microsoft Cloud Service > Security&EMS' 카테고리의 다른 글
Microsoft Purview eDiscovery - Contents Search (0) | 2024.05.07 |
---|---|
Microsoft Purview 감사 로그 (Premium) (0) | 2024.04.30 |
Privileged Access Management (0) | 2024.04.23 |
Information barriers - (3) 정책 적용 테스트 (0) | 2024.04.22 |
Information barriers - (2) 정책 생성 (0) | 2024.04.16 |