Exchange Online – o que esperar nas mudanças em Auditing
Por: Caio Ribeiro Cesar
Todas as informações neste artigo são visiveis em sites externos da Microsoft. Informações internas não serão divulgadas até a release do novo modelo de Auditing do Exchange Online e O365. Funcionalidades específicas podem ser alteradas a qualquer momento após o release do update.
Algumas pessoas já sabem, mas podemos utilizar o site https://success.office.com/en-us/roadmap para acompanhar as novidades do Office 365:
a) Launched – criamos, testamos e instalamos a solução no datacenter. Pode demorar um tempo para que o seu tenant possua o build com a atualização específica, porém a maioria dos tenants já possui a atualização.
b) Rolling Out - criamos, testamos e instalamos a solução no datacenter para alguns tenants.
c) In development – estamos criando e testando a solução para a atualização geral.
d) Cancelled – atualização cancelada.
e) Previously Released – updates instalados para todos os tenants.
Se fizermos um filtro em “audit”, temos o resultado abaixo
*Feito em 11 Nov 2015, o resultado irá variar de acordo com a data.
Ou seja, está em desenvolvimento um novo modelo de user reports e compliance administrator que irá facilitar a vida dos administradores.
Este update foi anunciado em um blog do time de produto, em que discutimos que a nova release terá:
- Office 365 activity report
A nova interface gráfica será integrada entre produtos. Podemos procurar atividades de um usuário pelas ações feitas em Exchange Online, Sharpoint Online, Azure AD, OneDrive (arquivos) e fazer o download destas ações diretamente da ferramenta como .csv. Anteriormente, para possuir o relatório em .csv, tínhamos que fazer pelo PowerShell.
Além da interface possuir ações integradas que facilita a vizualicação para o administrador, os recursos de filtro podem ser aplicados para data, usuário, arquivo e atividade efetuada.
- Melhoria nas funcionalidades de log
Eventos de produtos são armazenados no mesmo log. Isto significa que são aproximadamente 150 tipos de eventos que serão logados pela ferramenta.
Também foi anunciado que o time pretende adicionar mais funcionalidades em Auditing como a adição de logs de Skype for Business, Yammer e mais atividades feitas no próprio O365.
- Melhorias em Powershell
O comando “Search-UnifiedAuditLog” faz com que o search seja feito diretamente no storage que possui todos os logs dos produtos e exportar os resultados para um arquivo.
- API
Customização. Empresas podem criar seus próprios programas que façam a integração com Auditing.
Podemos ver também as propriedades que o relatório terá no site do technet. Algumas das ações monitoradas que serão úteis para administradores de Exchange Online são:
| ClientIP | O endereço IP que efetuou o acesso da mailbox. |
| ClientProcessName | Informações do client de email utilizado para acessar a mailbox em questão. |
| CreationTime | Horário em que o acesso foi realizado. |
| ExternalAccess | Em Exchange Admin, se o comando de gerência foi executado por algum admin da sua organização ou por um administrador externo. |
| LogonType | O tipo de mailbox que efetuou o acesso. Tais como: administrador, owner, delegate, serviço de transporte, conta de outros serviços ou administrador delegado. |
| MailboxGuid | O MailboxGuid da mailbox que foi acessada. |
| MailboxOwnerUPN | O UPN da mailbox que foi acessada. |
| ObjectID | Para ações de gerência em Exchange Online, o objeto que foi alterado no cmdlet executado pelo administrador. |
| Operation | A atividade em si. Maiores informações abaixo. |
| Path | O path da pasta que foi acessada. |
| Parameters | Parametros de comandos executados pelo administrador de Exchange Online. |
| Subject | O titulo da mensagem que foi acessada. |
| UserID | Informações do usuário que fez o acesso na mailbox. |
Uma dais informações mais importantes acima, está o “LogonType”. Podemos ver que iremos monitorar entradas de owner, o que antes não era possível no Exchange Online.
Conforme indicado pelo time de produto, teremos um storage somente para logs de auditoria – o que fez com que esta mudança fosse possível, já que antes deste update, os logs de mailbox audit eram armazenados localmente nas mailboxes (dificultando a gerência de data para mailbox audit logs).
Quanto as operações que serão monitoradas, temos:
| Event | Description | Admin | Delegate | Owner |
| Copy | An item is copied to another folder. | Yes | No | No |
| Create | An item is created in the mailbox (for example, a message is sent or received). Note that folder creation isn't audited. | Yes | Yes | Yes |
| FolderBind | A mailbox is accessed by an admin or delegate. Use this event to identify when a mailbox is accessed or opened by someone other than the owner. | Yes | Yes | No |
| HardDelete | An item is permanently deleted (purged) from the Recoverable Items folder. | Yes | Yes | Yes |
| MailboxLogin | The user signs in to their mailbox. | No | No | Yes |
| MessageBind | An item is accessed in the reading pane or opened. | Yes | No | No |
| Move | An item is moved to another folder. | Yes | Yes | Yes |
| MoveToDeletedItems | An item is deleted and moved to the Deleted Items folder. | Yes | Yes | Yes |
| SendAs | A message is sent using Send As permissions. | Yes | Yes | No |
| SendOnBehalf | A message is sent using Send on Behalf permissions. | Yes | Yes | No |
| SoftDelete | An item is permanently deleted or is deleted from the Deleted Items folder; in both cases, the item is moved to the Recoverable Items folder. | Yes | Yes | Yes |
| Update | An item's properties are updated. | Yes | Yes | Yes |
De novas funcionalidades (além de poder monitorar o owner da mailbox), temos os eventos “MessageBind” e “Create”.
Além de utilizar a interface gráfica para obter os resultados, administradores podem utilizar o powershell ou customizar seus próprios programas com o API do O365.
Os parâmetros disponíveis no comando “Search-UnifiedAuditLog” estão disponíveis neste site.
Você pode acompanhar o status desta atualização pelo site do roadmap, ou simplesmente validando no seu portal se a opção abaixo já está habilitada:
