Поделиться через

Поиск событий Microsoft Teams в журнале аудита

  • Статья
  • Применяется к:
    Microsoft Teams

Важно!

Центр администрирования Microsoft Teams постепенно заменяет центр администрирования Skype для бизнеса, и мы переносим в него параметры Teams из Центр администрирования Microsoft 365. Если параметр был перенесен, вы увидите уведомление, а затем будете перенаправлены в расположение параметра в Центре администрирования Teams. Дополнительные сведения см. в разделе Управление Teams при переходе в Центр администрирования Teams.

Журнал аудита поможет вам исследовать конкретные действия в службах Microsoft 365. Ниже приведены некоторые действия, которые проверяются для Microsoft Teams.

  • Создание команды
  • Удаление команды
  • Добавление канала
  • Удален канал
  • Изменен параметр канала

Полный список действий Teams, для которых проводится аудит, см. в разделах Действия Teams и Смены в действиях Teams.

Примечание.

События аудита из частных каналов также регистрируются как для команд, так и для стандартных каналов.

Включение аудита в Teams

Прежде чем просматривать данные аудита, необходимо сначала включить аудит в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в разделе Включение и отключение аудита.

Важно!

Данные аудита доступны только с того момента, когда вы включили аудит.

Извлечение данных Teams из журнала аудита

  1. Чтобы получить журналы аудита для действий Teams, перейдите по ссылке https://compliance.microsoft.com и выберите Аудит.

  2. На странице Поиск отфильтруйте действия, даты и пользователей, которые требуется выполнить аудит.

  3. Экспорт результатов в Excel для дальнейшего анализа.

Пошаговые инструкции см. в разделе Поиск в журнале аудита на портале соответствия требованиям.

Важно!

Данные аудита отображаются в журнале аудита только в том случае, если аудит включен.

Продолжительность хранения и поиска записи аудита в журнале аудита зависит от подписки на Microsoft 365 или Office 365, а также от типа лицензии, назначенной пользователям. Дополнительные сведения см. в описании службы Центра соответствия требованиям безопасности&.

Советы по поиску в журнале аудита

Ниже приведены советы по поиску действий Teams в журнале аудита.

Снимок экрана: страница поиска по журналам аудита на портале соответствия требованиям

  • Вы можете выбрать определенные действия для поиска, установив флажок рядом с одним или несколькими действиями. Если действие выбрано, вы можете выбрать его, чтобы отменить выбор. В поле поиска также можно просмотреть действия, содержащие введенное ключевое слово.

    Снимок экрана: раскрывающийся список действий на странице поиска по журналу аудита

  • Чтобы отобразить события для действий, выполняемых с помощью командлетов, выберите Показать результаты для всех действий в списке Действия . Если известно имя операции для этих действий, введите его в поле поиска, чтобы отобразить действие, и выберите его.

  • Чтобы очистить текущие условия поиска, выберите Очистить все. Диапазон дат сбрасывается в значение по умолчанию (последние семь дней).

  • Если найдено 5 000 результатов, можно предположить, что условиям поиска соответствует более 5 000 событий. Вы можете уточнить условия поиска и повторно запустить поиск, чтобы получить меньше результатов, или экспортировать все результаты поиска, выбрав Экспорт>Скачать все результаты. Пошаговые инструкции по экспорту журналов аудита см. в статье Экспорт результатов поиска в файл.

Ознакомьтесь с этим видео , чтобы использовать поиск в журнале звука. Присоединитесь к Ansuman Acharya, менеджеру программы Teams, как он демонстрирует, как выполнять поиск по журналам аудита для Teams.

Действия в Teams

Ниже приведен список всех событий, которые регистрируются для действий пользователей и администраторов в Teams в журнале аудита Microsoft 365. Таблица содержит понятное имя, отображаемое в столбце Действия , и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.

Понятное имя Операция Описание
Бот добавлен в группу BotAddedToTeam Пользователь добавляет бот в группу.
Добавлен канал ChannelAdded Пользователь добавляет канал в группу.
Соединитель добавлен ConnectorAdded Пользователь добавляет соединитель в канал.
Добавлены сведения о собрании Teams 2, 5 MeetingDetail Teams добавила сведения о собрании, включая время начала, время окончания и URL-адрес для присоединения к собранию.
Добавлены сведения об участниках собрания 2, 5 MeetingParticipantDetail Teams добавили сведения об участниках собрания, включая идентификатор пользователя каждого участника, время присоединения участника к собранию и время, когда участник покинул собрание.
Добавлены члены 5, 6 MemberAdded Владелец команды добавляет участников в команду, канал или групповой чат.
Вкладка добавлена TabAdded Пользователь добавляет вкладку в канал.
Примененная метка конфиденциальности SensitivityLabelApplied Пользователь или организатор собрания применил метку конфиденциальности к собранию Teams.
Изменен параметр канала ChannelSettingChanged Операция ChannelSettingChanged записывается в журнал при выполнении участником команды следующих действий. Для каждого из этих действий в результатах поиска в журнале аудита отображается описание измененного параметра (отображается в скобках).
  • Изменение имени канала команды (название канала)
  • Описание изменений канала группы (описание канала)
Изменен параметр организации TeamsTenantSettingChanged Операция TeamsTenantSettingChanged регистрируется, когда глобальный администратор в Центр администрирования Microsoft 365 выполняет следующие действия. Эти действия влияют на параметры Teams для всей организации. Дополнительные сведения см. в статье Управление параметрами Teams для вашей организации.
Для каждого из этих действий в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (показано в скобках).
  • Включает или отключает Teams для организации (Microsoft Teams).
  • Включает или отключает взаимодействие между Microsoft Teams и Skype для бизнеса для организации (Skype для бизнеса взаимодействие).
  • Включает или отключает представление организационной диаграммы в клиентах Microsoft Teams (представление организационной диаграммы).
  • Включает или отключает возможность для участников команды планировать частные собрания (планирование частных собраний).
  • Включает или отключает возможность для участников команды планировать собрания каналов (планирование собраний канала).
  • Включает или отключает видеозвонки в собраниях Teams (видео для собраний Skype).
  • Включает или отключает общий доступ к экрану в собраниях Microsoft Teams для организации (демонстрация экрана для собраний Skype).
  • Включает или отключает эту возможность добавления анимированных изображений (под названием Giphys) в беседы Teams (анимированные изображения).
  • Изменяет параметр оценки содержимого для организации (оценка содержимого). Оценка содержимого ограничивает типы анимированных изображений, которые могут отображаться в беседах.
  • Включает или отключает возможность добавления настраиваемых изображений (называемых пользовательскими мемами) из Интернета в беседы группы (настраиваемые изображения из Интернета).
  • Включает или отключает возможность добавления участниками команды редактируемых изображений (называемых наклейками) в беседы группы (редактируемые изображения).
  • Включает или отключает эту возможность для участников команды использовать ботов в чатах и каналах Microsoft Teams (боты на уровне организации).
  • Включает определенных ботов для Microsoft Teams. К этим программам не относится T-Bot — программа-робот для предоставления справки по Teams, которая доступна, когда для организации включена возможность использования программ-роботов (Отдельные программы-роботы).
  • Включает или отключает возможность добавления расширений или вкладок участниками команды (расширения или вкладки).
  • Включает или отключает загрузку неопубликованных ботов для Microsoft Teams (загрузка ботов на стороне).
  • Включает или отключает возможность отправки пользователями сообщений электронной почты на канал Microsoft Teams (электронная почта канала).
Изменена роль участников в команде MemberRoleChanged Владелец команды изменяет роль участников в команде. Следующие значения указывают тип роли, назначенный пользователю.

1 — указывает роль участника.
2 — указывает роль владельца.
3 — указывает на роль "Гость".

Свойство Members также включает имя вашей организации и адрес электронной почты участника.
Изменен параметр группы TeamSettingChanged Операция TeamSettingChanged записывается в журнал при выполнении владельцем команды следующих действий. Для каждого из этих действий в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (показано в скобках).
  • Изменяет тип доступа для команды. Teams можно задать как частный или общедоступный (тип доступа team). Если команда закрытая (параметр по умолчанию), пользователи могут получить доступ к ней только по приглашению. Общедоступная команда открыта для всех.
  • Изменяет классификацию информации команды (классификация команд). Например, можно классифицировать данные команды как имеющие высокое, среднее или низкое влияние на бизнес.
  • Изменяет имя команды (имя команды).
  • Изменяет описание команды (описание группы).
  • Изменения, внесенные в параметры команды. Чтобы получить доступ к этим параметрам, владелец команды может щелкнуть команду правой кнопкой мыши, выбрать Управление командой, а затем выбрать вкладку Параметры . Для этих действий имя измененного параметра отображается в столбце Элемент в результатах поиска в журнале аудита.
Изменена метка конфиденциальности SensitivityLabelChanged Пользователь изменил метку конфиденциальности на собрании Teams.
Создан чат 1, 2 ChatCreated Создан чат Teams.
Создана группа TeamCreated Пользователь создает команду.
Удалено сообщение 2 MessageDeleted Сообщение в чате или канале было удалено.
Удалены все приложения организации DeletedAllOrganizationApps Удалены все приложения организации из каталога.
Удаленное приложение AppDeletedFromCatalog Приложение удалено из каталога.
Удален канал ChannelDeleted Пользователь удаляет канал из группы.
Удалена группа TeamDeleted Владелец команды удаляет ее.
Изменено сообщение со ссылкой НА URL-адрес в Teams 5 MessageEditedHasLink Пользователь изменяет сообщение и добавляет к нему ССЫЛКу НА URL-адрес в Teams.
Экспортированные сообщения 1, 2 MessagesExported Сообщения чата или канала экспортированы.
Экспортированные записи RecordingExported Записи чата экспортированы.
Экспортированные расшифровки TranscriptsExported Стенограммы чата экспортированы.
Не удалось проверить приглашение на общий канал 3 FailedValidation Пользователь отвечает на приглашение на общий канал, но его проверка не пройдена.
Выборка чата 1, 2 ChatRetrieved Получен чат Microsoft Teams.
Получено все размещенное содержимое сообщения1, 2 MessageHostedContentsListed Все размещенное в сообщении содержимое, например изображения или фрагменты кода, было извлечено.
Приложение установлено AppInstalled Установлено приложение.
Выполнено действие для карта PerformedCardAction Пользователь выполнил действия с адаптивным карта в чате. Адаптивные карточки обычно используются ботами для эффективного отображения информации и взаимодействия в чатах.

Примечание: В журнале аудита будут доступны только встроенные входные действия для адаптивного карта внутри чата. Например, когда пользователь отправляет ответ на опрос в беседе канала на адаптивном карта, созданном ботом опроса. Действия пользователя, такие как "Просмотр результата", при котором открывается диалоговое окно, или действия пользователя внутри диалогов, не будут доступны в журнале аудита.
Опубликовано новое сообщение 1, 2, 5, 6 MessageSent Новое сообщение было опубликовано в чате или канале.
Опубликованное приложение AppPublishedToCatalog Приложение было добавлено в каталог.
Чтение сообщения 1, 2 MessageRead Получено сообщение чата или канала.
Чтение размещенного содержимого сообщения 1, 2 MessageHostedContentRead Было извлечено размещенное в сообщении содержимое, например изображение или фрагмент кода.
Бот удален из группы BotRemovedFromTeam Пользователь удаляет бот из группы.
Соединитель удален ConnectorRemoved Пользователь удаляет соединитель из канала.
Удалены участники MemberRemoved Владелец команды удаляет участников из команды, канала или группового чата.
Удалена метка конфиденциальности SensitivityLabelRemoved Пользователь удалил метку конфиденциальности из собрания Teams.
Удален общий доступ к каналу 3 команды TerminatedSharing Команда или владелец канала отключили общий доступ к общему каналу.
Восстановлен общий доступ к каналу 3 команды SharingRestored Команда или владелец канала повторно включил общий доступ для общего канала.
Вкладка удалена TabRemoved Пользователь удаляет вкладку из канала.
Ответ на приглашение для общего канала 3 InviteeResponded Пользователь ответил на приглашение общего канала.
Ответ на ответ приглашенного на общий канал 3 ChannelOwnerResponded Владелец канала ответил на ответ пользователя, который ответил на приглашение общего канала.
Полученные сообщения 1, 2 MessagesListed Сообщения из чата или канала были получены.
Отправка сообщения со ссылкой НА URL-адрес в Teams 5 MessageCreatedHasLink Пользователь отправляет сообщение, содержащее URL-ссылку в Teams.
Уведомление об отправленных изменениях для создания сообщения 1, 2 MessageCreatedNotification Было отправлено уведомление об изменении, чтобы уведомить приложение прослушивателя с подпиской о новом сообщении.
Отправленное уведомление об изменении для удаления сообщения 1, 2 MessageDeletedNotification Было отправлено уведомление об изменениях, чтобы уведомить приложение прослушивателя с подпиской об удаленном сообщении.
Отправлено уведомление об изменениях для сообщения обновления 1, 2 MessageUpdatedNotification Было отправлено уведомление об изменении, чтобы уведомить приложение прослушивателя с подпиской об обновленном сообщении.
Отправленное приглашение для общего канала 3 InviteSent Владелец канала или участник отправляет приглашение на общий канал. Приглашения на общие каналы можно отправлять пользователям за пределами организации, если политика канала настроена для предоставления доступа к каналу внешним пользователям.
Подписан на уведомления об изменении сообщений 1, 2 SubscribedToMessages Подписка была создана приложением-прослушивателем для получения уведомлений об изменениях сообщений.
Удалено приложение AppUninstalled Приложение было удалено.
Обновленное приложение AppUpdatedInCatalog Приложение было обновлено в каталоге.
Обновлен чат 1, 2 ChatUpdated Обновлен чат Teams.
Обновлено сообщение 1, 2 MessageUpdated Обновлено сообщение чата или канала.
Обновлен соединитель ConnectorUpdated Пользователь изменил соединитель в канале.
Вкладка обновлена TabUpdated Пользователь изменил вкладку в канале.
Обновленное приложение AppUpgraded Приложение обновлено до последней версии в каталоге.
Пользователь вошел в Teams TeamsSessionStarted Пользователь входит в клиент Microsoft Teams. Это событие не фиксирует действия по обновлению маркера.
Опубликовано новое сообщение 3, 4, 5, 6 MessageSent Новое сообщение было опубликовано в чате или канале. Это событие является функцией уровня "Премиум" с определяемыми сведениями о лицензировании.

Примечание.

1 Запись аудита для этого события регистрируется только при выполнении операции путем вызова API Graph Майкрософт. Если операция выполняется в клиенте Teams, запись аудита не регистрируется.
2 Это событие доступно только в audit (Premium). Это означает, что пользователям должна быть назначена соответствующая лицензия, прежде чем эти события будут зарегистрированы в журнале аудита. Дополнительные сведения о действиях, доступных только в audit (Premium), см. в разделе Аудит (премиум) в Microsoft Purview. Требования к лицензированию для функции "Аудит" (премиум) см. в статье Решения для аудита в Microsoft 365.
3 Это событие находится в общедоступной предварительной версии.
4Это событие создается для чата только при наличии гостей, федеративных и (или) анонимных пользователей.
5 Это событие в настоящее время недоступно в облаке сообщества для государственных организаций (GCC), облаке сообщества для государственных организаций (GCC-High) и Министерстве обороны (DoD).
6 Это событие включается во всех участвующих клиентах для федеративных чатов.
7 Это событие содержит сведения о домене участника для федеративных чатов 1:1.

Действия в Сменах для Teams

Если ваша организация использует приложение "Смены" в Teams, вы можете найти в журнале аудита действия, связанные с приложением "Смены". Ниже приведен список всех событий, регистрируемых для действий смен в Teams в журнале аудита Microsoft 365.

Понятное имя Операция Описание
Добавлена группа планирования ScheduleGroupAdded Пользователь успешно добавляет в расписание новую группу планирования.
Измененная группа планирования ScheduleGroupEdited Пользователь успешно изменяет группу планирования.
Удаленная группа планирования ScheduleGroupDeleted Пользователь успешно удаляет группу планирования из расписания.
Отозвали расписание ScheduleWithdrawn Пользователь успешно отзывает опубликованное расписание.
Добавлена смена ShiftДобавлено Пользователь успешно добавляет смену.
Измененная смена ShiftEdited Пользователь успешно изменяет смену.
Удаленная смена ShiftDeleted Пользователь успешно удаляет смену.
Добавлено время отгула TimeOffAdded Пользователь успешно добавляет время отгула по расписанию.
Измененное время отгула TimeOffEdited Пользователь успешно изменяет время отгула.
Удалено время отгула TimeOffDeleted Пользователь успешно удаляет время отгула.
Добавлена открытая смена OpenShiftAdded Пользователь успешно добавляет открытую смену в группу планирования.
Измененная открытая смена OpenShiftEdited Пользователь успешно изменяет открытую смену в группе планирования.
Удалена открытая смена OpenShiftDeleted Пользователь успешно удаляет открытую смену из группы планирования.
Общее расписание ScheduleShared Пользователь успешно предоставил общий доступ к расписанию команды для диапазона дат.
Синхронизация с использованием часов времени ClockedIn Пользователь успешно выполняет часы с помощью часов времени.
Время ожидания с помощью часов ClockedOut Пользователь успешно выполняет синхронизацию с помощью часов времени.
Запуск перерыва с помощью часов времени BreakStarted Пользователь успешно запускает перерыв во время активного сеанса часов времени.
Окончание перерыва с помощью часов времени BreakEnded Пользователь успешно завершает перерыв во время активного сеанса часов времени.
Добавлена запись time clock TimeClockEntryAdded Пользователь успешно добавляет новую запись часов времени вручную в time sheet.
Запись измененных часов времени TimeClockEntryEdited Пользователь успешно изменяет запись часов в таблице времени.
Запись "Удаленные часы времени" TimeClockEntryDeleted Пользователь успешно удаляет запись time clock в time sheet.
Добавлен запрос на смену RequestAdded Пользователь добавил запрос на смену.
Ответ на запрос на смену RequestRespondedTo Пользователь ответил на запрос смены.
Отмененный запрос на смену RequestCancelled Пользователь отменил запрос на смену.
Изменен параметр расписания ScheduleSettingChanged Пользователь изменяет параметр в параметрах shifts.
Добавлена интеграция с персоналом WorkforceIntegrationДобавлено Приложение Shifts интегрировано со сторонней системой.
Сообщение о принятом отключении смены OffShiftDialogAccepted Пользователь подтверждает сообщение вне смены для доступа к Teams после смены.

Обновления приложения в действиях Teams

Если ваша организация использует приложение Обновления в Teams, вы можете найти в журнале аудита действия, связанные с приложением Обновления. Ниже приведен список всех событий, регистрируемых для Обновления действий приложений в Teams в журнале аудита Microsoft 365.

Понятное имя Операция Описание
Создание запроса на обновление CreateUpdateRequest Пользователь успешно создает запрос на обновление.
Изменение запроса на обновление EditUpdateRequest Пользователь открывает мастер редактирования запросов и нажимает кнопку Сохранить , чтобы подтвердить и сохранить любые изменения, либо включает или отключает запрос на обновление напрямую.
Отправка обновления SubmitUpdate Пользователь успешно отправляет обновление.
Просмотр сведений об одном обновлении ViewUpdate Пользователь просматривает сведения об обновлении.

API действий управления Office 365

Вы можете использовать API действий управления Office 365 для получения сведений о событиях Teams. Дополнительные сведения о схеме API действий управления для Teams см. в разделе Схема Teams.

Присвоение в журналах аудита Teams

Изменения членства в Teams (например, добавленные или удаленные пользователи), внесенные с помощью Azure Active Directory (Azure AD), портала администрирования Microsoft 365 или Группы Microsoft 365 API Graph, будут отображаться в сообщениях аудита Teams и в канале "Общие" с указанием атрибута существующему владельцу команды, а не фактическому инициатору действия. В этих сценариях обратитесь к журналам аудита группы Azure AD или Microsoft 365, чтобы просмотреть соответствующую информацию.

Настройка политик действий с помощью Defender для облачных приложений

С помощью интеграции Microsoft Defender for Cloud Apps можно задать политики действий для обеспечения широкого спектра автоматизированных процессов с помощью API поставщика приложений. Эти политики позволяют отслеживать определенные действия, выполняемые различными пользователями, или следовать неожиданно высоким показателям одного определенного типа действий.

После настройки политики обнаружения действий начинается создание оповещений. Оповещения создаются только для действий, которые происходят после создания политики. Ниже приведены примеры сценариев использования политик действий в Defender для облачных приложений для мониторинга действий Teams.

Сценарий внешнего пользователя

Одним из сценариев, за которым вы можете следить с точки зрения бизнеса, является добавление внешних пользователей в среду Teams. Если внешние пользователи включены, рекомендуется отслеживать их присутствие. Вы можете использовать Defender для облачных приложений для выявления потенциальных угроз.

Политика для отслеживания добавления внешних пользователей

Снимок экрана этой политики для отслеживания добавления внешних пользователей позволяет присвоить политике имя, задать серьезность в соответствии с бизнес-потребностями, задать его как (в данном случае) одно действие, а затем установить параметры, которые будут отслеживать только добавление не внутренних пользователей, и ограничить это действие Teams.

Результаты этой политики можно просмотреть в журнале действий:

События, активированные политикой внешних пользователей

Здесь можно просмотреть соответствие заданной политике и внести любые изменения по мере необходимости или экспортировать результаты для использования в другом месте.

Сценарий массового удаления

Как упоминалось ранее, можно отслеживать сценарии удаления. Можно создать политику, которая будет отслеживать массовое удаление сайтов Teams. В этом примере настраивается политика на основе оповещений для обнаружения массового удаления команд в течение 30 минут.

Политика, показывающая настройку политики для обнаружения массового удаления команды

Как показано на снимках экрана, для этой политики можно задать множество различных параметров для отслеживания удаления Teams, включая серьезность, одно или повторяющееся действие, а также параметры, ограничивающие удаление Teams и сайтов. Это можно сделать независимо от шаблона или вы можете создать шаблон, на основе которых будет основываться эта политика, в зависимости от потребностей вашей организации.

После установки политики, которая работает для вашей компании, вы можете просмотреть результаты в журнале действий по мере активации событий:

Снимок экрана: события, вызванные массовым удалением

Вы можете отфильтровать ее до заданной политики, чтобы просмотреть результаты этой политики. Если результаты, полученные в журнале действий, не являются удовлетворительными (возможно, вы видите много результатов или вообще ничего), это поможет вам настроить запрос, чтобы сделать его более подходящим для выполнения.

Сценарий оповещений и управления

Вы можете настроить оповещения и отправлять сообщения электронной почты администраторам и другим пользователям при активации политики действий. Вы можете настроить действия автоматического управления, такие как приостановка пользователя или автоматическое выполнение входа пользователя. В этом примере показано, как можно приостановить учетную запись пользователя при активации политики действий и определить, что пользователь удалил две или более команд за 30 минут.

Снимок экрана: оповещения и действия системы управления для политики действий.

Настройка политик обнаружения аномалий с помощью Defender для облачных приложений

Политики обнаружения аномалий в Defender for Cloud Apps предоставляют готовую аналитику поведения пользователей и сущностей (UEBA) и машинное обучение (ML), чтобы вы могли немедленно запустить расширенное обнаружение угроз в облачной среде. Так как они включены автоматически, новые политики обнаружения аномалий обеспечивают немедленные результаты, обеспечивая немедленное обнаружение, нацелив на многочисленные аномалии поведения пользователей, компьютеров и устройств, подключенных к сети. Кроме того, новые политики предоставляют больше данных из подсистемы обнаружения Defender for Cloud Apps, чтобы ускорить процесс исследования и устранить текущие угрозы.

Мы работаем над интеграцией событий Teams в политики обнаружения аномалий. Сейчас вы можете настроить политики обнаружения аномалий для других продуктов Office и принять меры для пользователей, которые соответствуют этим политикам.