OFİS 365 Log Yönetimi
Son yıllarda sistem yöneticileri artık kabuklarını kırarak güvenlik tarafında mecburen donanmak ve bilgi sahibi olmak zorunda kaldılar. Bunları tetikleyen nedenler arasında siber saldırılar ve standartlara uyum sebebi gelmektedir. Bu nedenle artık bir çok sistem üzerindeki hareketlerin kayıt altına alınması ve buna göre izleme ve aksiyon alınması gereksinimi doğmuştur. Bu makalemizde ofis üzerinde admin ve kullanıcı tarafında oluşan log aksiyonlarını ele alıyor olacağız.
Ofis 365 üzerinde audit yapabilmek için defaultta kapalı olan ayarları aktif etmemiz gerekmektedir. Ayarları aktif ettikten sonra log izlemesi yapabiliriz. Şimdi adımlarımıza gelelim. Öncelikle yönetici panelimizi açalım. Açılan ekranımızda Compliance menüsüne girelim.
https://rizasahan.files.wordpress.com/2016/09/110.jpg?w=540&h=347
Bu ekranımızda güvenlikle ilgili bir çok işlemler yapabilmekte rapor alabilmekte MDM yönetimi gibi komplex işlemler yapabilmekteyiz. BuradaArama ve araştırma menüsüne girelim.
https://rizasahan.files.wordpress.com/2016/09/25.jpg?w=540&h=348
Ekranımızda audit özelliğini açabilmemiz için Kullanıcı ve Yönetici etkinliklerini kaydetmeye başla linkine tıklayalım.
https://rizasahan.files.wordpress.com/2016/09/31.jpg?w=540&h=322
Gelen uyarıda audit özelliğini etkinleştime konusunda bir uyarı gelmektedir. Gelen uyarıda **Etkinleştir **butonuna tıklayalım.
https://rizasahan.files.wordpress.com/2016/09/41.jpg?w=540&h=211
Kuruluş ayarlarında bir güncelleme gerekmekte bu nedenle gelen uyarıyaEVET butonuna tıklayarak yanıt verelim.
https://rizasahan.files.wordpress.com/2016/09/51.jpg?w=540&h=259
Ayarımız organizasyon bazında aktif ediliyor.
https://rizasahan.files.wordpress.com/2016/09/61.jpg?w=540&h=257
Şu anda ayarımız aktif edildi. Bir kullanıcı için tüm aktiviteleri izlemek için gerekli bilgileri giriyor ve **Ara **butonuna basıyorum.
https://rizasahan.files.wordpress.com/2016/09/81.jpg?w=540&h=511
Fakat hiçbir aktivite yok. Ayarı yeni aktif ettiğimiz için biraz beklememiz gerekmekte. Veya bu işlemi powershell üzerinden hızlandırmamız gerekmektedir.
Powershell ile bağlantı sağlayıp ayarlarımızı aşağıdaki komut ile kontrol edelim.
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Format-List Name,Audit*
Şu anda görüldüğü gibi Audit Enable : False durumda yani ayarlarımız kullanıcılarımıza yansımamış. Bunun için bekleyebilir veya durumu powershell ile tetikleyebiliriz.
https://rizasahan.files.wordpress.com/2016/09/91.jpg?w=540&h=188
Aşağıdaki komutu kullanarak Organizasyon bazında tüm auditleri açalım.
Get-mailbox -Filter {(RecipientTypeDetails -eq ‘UserMailbox’)} | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
https://rizasahan.files.wordpress.com/2016/09/101.jpg?w=540&h=58
Dilersek sadece istediğimiz kullanıcılara ve istediğimiz auditlere göre seçim yapabiliriz. Bu işlem için aşağıdaki sayfadaki komut setlerinden yararlanabilirsiniz.
https://technet.microsoft.com/en-us/library/dn879651.aspx
Şimdi tekrardan aşağıdaki komut setimizi çalıştırdığımızda auditlerin tüm kullanıcılar için aktif olduğunu görebilmekteyiz.
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Format-List Name,Audit*
https://rizasahan.files.wordpress.com/2016/09/111.jpg?w=540&h=312
Şimdi tekrardan iki kullanıcı seçip bunların tüm aktivitelerini izlediğimizde loğların gelmeye başladığını görebilmekteyiz.
https://rizasahan.files.wordpress.com/2016/09/121.jpg?w=540&h=261
Şimdi birkaç aksiyon yapıyorum. Bir kullanıcı ekliyorum.
https://rizasahan.files.wordpress.com/2016/09/131.jpg?w=540&h=618
Kullanıcımız eklendi.
https://rizasahan.files.wordpress.com/2016/09/141.jpg?w=540&h=188
Gerekli aksiyonlar ekranımıza yansıdı.
https://rizasahan.files.wordpress.com/2016/09/151.jpg?w=540&h=247
Tüm aksiyonlar yerine belli aksiyonları da seçerek gui ortamdan loglayabiliriz.
https://rizasahan.files.wordpress.com/2016/09/161.jpg?w=540&h=293
Umarım yararlı olmuştur. Bir başka makalemizde görüşmek dileğiyle.