Поделиться через

Поиск событий Microsoft Teams в журнале аудита

  • Статья
  • Применяется к:
    Microsoft Teams

Важно!

Центр администрирования Microsoft Teams постепенно заменяет центр администрирования Skype для бизнеса, и мы переносим в него параметры Teams из Центр администрирования Microsoft 365. Если параметр был перенесен, вы увидите уведомление, а затем будете перенаправлены в расположение параметра в Центре администрирования Teams. Дополнительные сведения см. в разделе Управление Teams при переходе в Центр администрирования Teams.

Журнал аудита поможет вам исследовать определенные действия в службах Майкрософт. Ниже приведены некоторые действия, которые проверяются для Microsoft Teams.

  • Создание команды
  • Удаление команды
  • Добавление канала
  • Удален канал
  • Изменен параметр канала

Полный список действий Teams, для которых проводится аудит, см. в разделе Действия Teams в журнале аудита.

Примечание.

События аудита из частных каналов также регистрируются как для команд, так и для стандартных каналов.

Включение аудита в Teams

Прежде чем просматривать данные аудита, необходимо сначала включить аудит на портале Microsoft Purview или в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в разделе Включение и отключение аудита.

Важно!

Данные аудита доступны только с того момента, когда вы включили аудит.

Извлечение данных Teams из журнала аудита

Чтобы получить журналы аудита для действий Teams, используйте портал Microsoft Purview или портал соответствия требованиям. Пошаговые инструкции см. в разделе Поиск в журнале аудита.

Важно!

Данные аудита отображаются в журнале аудита только в том случае, если аудит включен.

Продолжительность хранения и поиска записи аудита в журнале аудита зависит от подписки на Microsoft 365 или Office 365, а также от типа лицензии, назначенной пользователям. Дополнительные сведения см. в описании службы Центра соответствия требованиям безопасности &.

Советы по поиску в журнале аудита

Ниже приведены советы по поиску действий Teams в журнале аудита.

  • Вы можете выбрать определенные действия для поиска, установив флажок рядом с одним или несколькими действиями. Если действие выбрано, вы можете выбрать его, чтобы отменить выбор. В поле поиска также можно просмотреть действия, содержащие введенное ключевое слово.

  • Чтобы отобразить события для действий, выполняемых с помощью командлетов, выберите Показать результаты для всех действий в списке Действия . Если известно имя операции для этих действий, введите его в поле поиска, чтобы отобразить действие, и выберите его.

  • Чтобы очистить текущие условия поиска, выберите Очистить все. Диапазон дат сбрасывается в значение по умолчанию (последние семь дней).

  • Если найдено 5 000 результатов, можно предположить, что условиям поиска соответствует более 5 000 событий. Вы можете уточнить условия поиска и повторно запустить поиск, чтобы получить меньше результатов, или экспортировать все результаты поиска, выбрав Экспорт>Скачать все результаты. Пошаговые инструкции по экспорту журналов аудита см. в разделе Поиск в журнале аудита.

Ознакомьтесь с этим видео , чтобы использовать поиск в журнале звука. Присоединитесь к Ansuman Acharya, менеджеру программы Teams, как он демонстрирует, как выполнять поиск по журналам аудита для Teams.

Действия в Teams

Список всех событий, зарегистрированных для действий пользователей и администраторов в Teams в журнале аудита Microsoft 365, см. в следующих разделах:

API действий управления Office 365

Вы можете использовать API действий управления Office 365 для получения сведений о событиях Teams. Дополнительные сведения о схеме API действий управления для Teams см. в разделе Схема Teams.

Присвоение в журналах аудита Teams

Изменения членства в Teams (например, добавленные или удаленные пользователи), внесенные с помощью Microsoft Entra ID, портала администрирования Microsoft 365 или Группы Microsoft 365 API Graph, будут отображаться в сообщениях аудита Teams и в канале Общие с указанием атрибута существующему владельцу команды, а не фактическому инициатору действия. В этих сценариях ознакомьтесь с Microsoft Entra ID или журналами аудита группы Microsoft 365, чтобы просмотреть соответствующую информацию.

Использование Defender for Cloud Apps для настройки политик действий

С помощью интеграции Microsoft Defender for Cloud Apps можно задать политики действий для обеспечения широкого спектра автоматизированных процессов с помощью API поставщика приложений. Эти политики позволяют отслеживать определенные действия, выполняемые различными пользователями, или следовать неожиданно высоким показателям одного определенного типа действий.

После настройки политики обнаружения действий начинается создание оповещений. Оповещения создаются только для действий, которые происходят после создания политики. Ниже приведены примеры сценариев использования политик действий в Defender for Cloud Apps для мониторинга действий Teams.

Сценарий внешнего пользователя

Одним из сценариев, за которым вы можете следить с точки зрения бизнеса, является добавление внешних пользователей в среду Teams. Если внешние пользователи включены, рекомендуется отслеживать их присутствие. Для выявления потенциальных угроз можно использовать Defender for Cloud Apps.

Политика для отслеживания добавления внешних пользователей

Снимок экрана этой политики для отслеживания добавления внешних пользователей позволяет назвать политику, задать серьезность в соответствии с бизнес-потребностями, задать его как (в данном случае) одно действие, а затем установить параметры, которые будут отслеживать только добавление пользователей, не являющихся внешними пользователями, и ограничить это действие Teams.

Результаты этой политики можно просмотреть в журнале действий:

События, активированные политикой внешних пользователей

Здесь можно просмотреть соответствие заданной политике и внести любые изменения по мере необходимости или экспортировать результаты для использования в другом месте.

Сценарий массового удаления

Как упоминалось ранее, можно отслеживать сценарии удаления. Можно создать политику, которая будет отслеживать массовое удаление сайтов Teams. В этом примере настраивается политика на основе оповещений для обнаружения массового удаления команд в течение 30 минут.

Политика, показывающая настройку политики для обнаружения массового удаления команды

Как показано на снимках экрана, для этой политики можно задать множество различных параметров для отслеживания удаления Teams, включая серьезность, одно или повторяющееся действие, а также параметры, ограничивающие удаление Teams и сайтов. Это можно сделать независимо от шаблона или вы можете создать шаблон, на основе которых будет основываться эта политика, в зависимости от потребностей вашей организации.

После установки политики, которая работает для вашей компании, вы можете просмотреть результаты в журнале действий по мере активации событий:

Снимок экрана: события, вызванные массовым удалением

Вы можете отфильтровать ее до заданной политики, чтобы просмотреть результаты этой политики. Если результаты, полученные в журнале действий, не являются удовлетворительными (возможно, вы видите много результатов или вообще ничего), это поможет вам настроить запрос, чтобы сделать его более подходящим для выполнения.

Сценарий оповещений и управления

Вы можете настроить оповещения и отправлять сообщения электронной почты администраторам и другим пользователям при активации политики действий. Вы можете настроить действия автоматического управления, такие как приостановка пользователя или автоматическое выполнение входа пользователя. В этом примере показано, как можно приостановить учетную запись пользователя при активации политики действий и определить, что пользователь удалил две или более команд за 30 минут.

Снимок экрана: оповещения и действия системы управления для политики действий.

Настройка политик обнаружения аномалий с помощью Defender for Cloud Apps

Политики обнаружения аномалий в Defender for Cloud Apps обеспечивают встроенную аналитику поведения пользователей и сущностей (UEBA) и машинное обучение (ML), чтобы можно было немедленно запустить расширенное обнаружение угроз в облачной среде. Так как они включены автоматически, новые политики обнаружения аномалий обеспечивают немедленные результаты, обеспечивая немедленное обнаружение, нацелив на многочисленные аномалии поведения пользователей, компьютеров и устройств, подключенных к сети. Кроме того, новые политики предоставляют больше данных из подсистемы обнаружения Defender for Cloud Apps, что помогает ускорить процесс исследования и сдерживать текущие угрозы.

Мы работаем над интеграцией событий Teams в политики обнаружения аномалий. Сейчас вы можете настроить политики обнаружения аномалий для других продуктов Office и принять меры для пользователей, которые соответствуют этим политикам.