Office 365 Exchange 客户端连接日志

Question 1

您无法看到连接 IP 地址，但可以使用以下 cmdlet 查看连接类型：

Get-ConnectionByClientTypeReport
Get-ConnectionByClientTypeDetailReport

标准报告按协议细分，详细报告按用户、协议细分。

EWS 用户代理字符串。 您无法确定您的 O365 租户正在使用哪些类型的 Exchange Web 服务连接。这可能是一个问题，因为 EWS 相当开放，并且有多个恶意应用程序使用 EWS 来窃取公司数据。
邮箱位置。 租户管理员不得在租户内移动邮箱。存在给定邮箱的多个副本，包括 DAG，但这些副本由 GUID 抽象化。

完整的消息追踪。 对于进出 O365 租户的所有消息，都可以进行消息跟踪。实时视图为 7 天（IIRC），历史跟踪可查询和返回长达 90 天。
审计。 在下面合规管理 > 审计，有许多报告可用于报告非标准使用情况，例如：非所有者邮箱访问、合法保留、管理员审计日志（记录每个添加、设置、新建和删除操作）。

Answer

您无法看到连接 IP 地址，但可以使用以下 cmdlet 查看连接类型：

Get-ConnectionByClientTypeReport
Get-ConnectionByClientTypeDetailReport

标准报告按协议细分，详细报告按用户、协议细分。

EWS 用户代理字符串。 您无法确定您的 O365 租户正在使用哪些类型的 Exchange Web 服务连接。这可能是一个问题，因为 EWS 相当开放，并且有多个恶意应用程序使用 EWS 来窃取公司数据。
邮箱位置。 租户管理员不得在租户内移动邮箱。存在给定邮箱的多个副本，包括 DAG，但这些副本由 GUID 抽象化。

完整的消息追踪。 对于进出 O365 租户的所有消息，都可以进行消息跟踪。实时视图为 7 天（IIRC），历史跟踪可查询和返回长达 90 天。
审计。 在下面合规管理 > 审计，有许多报告可用于报告非标准使用情况，例如：非所有者邮箱访问、合法保留、管理员审计日志（记录每个添加、设置、新建和删除操作）。

Question 2

@blaughw 在此处给出了直接 O365 植入的正确答案。但是，您可能还有其他选择。

如果您利用 ADFS 或其他身份平台的 SSO，则可以捕获登录信息，其中包括用户连接的 IP。如果您不使用 ADFS - 您可能需要考虑它，因为您可以利用策略控制来根据位置限制访问。

如果所有用户都通过企业 LAN 或 VPN 访问，则可以捕获边缘设备上的出站请求。

如果您可以控制您的设备，并且它们会不时地登录域，那么您可以推送一个小脚本来记录本地计算机的地址。您可以让它向您发送消息 - 或者只是保留一个运行中的 TXT 文件，当它们登录时您会抓取该文件。

Answer

@blaughw 在此处给出了直接 O365 植入的正确答案。但是，您可能还有其他选择。

如果您利用 ADFS 或其他身份平台的 SSO，则可以捕获登录信息，其中包括用户连接的 IP。如果您不使用 ADFS - 您可能需要考虑它，因为您可以利用策略控制来根据位置限制访问。

如果所有用户都通过企业 LAN 或 VPN 访问，则可以捕获边缘设备上的出站请求。

如果您可以控制您的设备，并且它们会不时地登录域，那么您可以推送一个小脚本来记录本地计算机的地址。您可以让它向您发送消息 - 或者只是保留一个运行中的 TXT 文件，当它们登录时您会抓取该文件。

Question 3

不幸的是，没有办法直接从 Exchange Online 获取此类信息，甚至使用第三方工具也不行。我唯一会查看的来源是 Offich 365 帮助台，但它本身可能不是一个有效的解决方案。

Answer

不幸的是，没有办法直接从 Exchange Online 获取此类信息，甚至使用第三方工具也不行。我唯一会查看的来源是 Offich 365 帮助台，但它本身可能不是一个有效的解决方案。

相关内容