我已开始在一家使用 Microsoft 365 的公司担任系统管理员。在我开始工作之前,几个具有全局管理员角色的通用帐户被多个人用于执行大多数日常管理工作。没有文档。
我正在尝试整理这些内容,这样我们就不再拥有那么多 GA 帐户,并且可以为具有特定需求的帐户分配更细粒度的角色。团队不再使用这些通用帐户来做事,但必须设置一些具有全局管理员角色的服务帐户来执行计划任务,因为它们仍显示在 SigninLogs 中。
我已遵循 Microsoft 指南,使用以下查询在 Azure Log Analytics 中登录时进行审核:
SigninLogs | project UserPrincipalName | where UserPrincipalName == "[email protected]"
它告诉我某个帐户的使用频率,但我不知道如何计算什么它正在做什么。哪些查询可以帮助我追踪所有活动?
答案1
为了能够知道身份在做什么,您可能需要查看 Azure 活动日志或 M365 的统一审计日志记录(需要启用)。对于 M365 日志,我建议使用 Microsoft Sentinel,它有数据连接器来提取 M365 日志
此 Microsoft Sentinel 工作簿可能有助于使用 Azure 活动日志显示用户在 Azure 租户中执行的操作 https://github.com/Azure/Azure-Sentinel/blob/master/Workbooks/AzureActivity.json
对于 Microsoft 365,此 https://github.com/Azure/Azure-Sentinel/blob/master/Workbooks/Office365.json
Microsoft Sentinel 还具有称为 UEBA 的功能。当 Microsoft Sentinel 从其所有连接的数据源收集日志和警报时,它会对其进行分析,并跨时间和同级组范围构建组织实体(如用户、主机、IP 地址和应用程序)的基线行为配置文件。然后,使用各种技术和机器学习功能,Microsoft Sentinel 可以识别异常活动并帮助您确定资产是否已受到损害。不仅如此,它还可以确定特定资产的相对敏感度,识别同级资产组,并评估任何给定受损资产的潜在影响(其“爆炸半径”