lunedì 17 agosto 2020

Microsoft 365: Abilitare l'Audit Log

Microsoft 365 è un ecosistema vasto che coinvolge più servizi come Exchange Online, Azure AD, SharePoint Online, OneDrive for Business e Microsoft Teams. La sua vastità rende generalmente necessario l'impiego di più amministratori che dovranno lavorare per una corretta e sicura gestione di migliaia di utenti.
Il registro di controllo (Audit Log) aiuta a tenere traccia delle operazioni eseguite dagli amministratori e dagli utenti registrandone gli accessi, i documenti visualizzati/spostati dagli utenti e l'utilizzo delle risorse. Tale registro può essere fondamentale per indagare su incident di sicurezza o raccogliere informazioni su operazioni che vengono effettuate all'interno del sistem- L'Audit Log non è abilitato di default, per abilitarlo si può procedere tramite GUI:
  • Dal Centro sicurezza e conformità di Office 365 cliccare su Ricerca quindi su Ricerca dei log di controllo;
  • Un banner indica che è necessario che il controllo sia attivato per registrare l'attività dell'utente e dell'amministratore. Per attivarlo cliccare sul pulsante Attiva controllo.
Office 365 - Ricerca log di controllo
FIG 1 - Office 365, Ricerca log di controllo

In alternativa è possibile abilitare l'Audit Log mediante il seguente comando da PowerShell
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
Un messaggio ci avviserà che potrebbe essere necessario attendere fino a 60 minuti affinché le modifiche diventino effettive.

Per verificare lo stato di attivazione del Audit Log da PowerShell eseguire il comando
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled




Nessun commento:

Posta un commento

I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.