Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
Центр администрирования Microsoft Teams постепенно заменяет центр администрирования Skype для бизнеса, и мы переносим в него параметры Teams из Центр администрирования Microsoft 365. Если параметр был перенесен, вы увидите уведомление, а затем будете перенаправлены в расположение параметра в Центре администрирования Teams. Дополнительные сведения см. в разделе Управление Teams при переходе в Центр администрирования Teams.
Журнал аудита помогает исследовать определенные действия в службах Майкрософт. Для Microsoft Teams журнал аудита отслеживает такие действия, как:
- Создание команды
- Удаление команды
- Добавление канала
- Удален канал
- Изменен параметр канала
Полный список действий Teams, для которых проводится аудит, см. в разделе Действия Teams в журнале аудита.
Примечание.
События аудита из частных каналов также регистрируются как для команд, так и для стандартных каналов.
Включение аудита в Teams
Прежде чем просматривать данные аудита, необходимо включить аудит на портале Microsoft Purview. Дополнительные сведения см. в разделе Включение и отключение аудита.
Важно!
Данные аудита доступны только с момента включения аудита.
Извлечение данных Teams из журнала аудита
Чтобы получить журналы аудита для действий Teams, используйте портал Microsoft Purview. Пошаговые инструкции см. в разделе Поиск в журнале аудита.
Важно!
Данные аудита отображаются в журнале аудита только в том случае, если аудит включен.
Продолжительность хранения и поиска записи аудита в журнале аудита зависит от подписки на Microsoft 365 или Office 365, а также от типа лицензии, назначенной пользователям. Дополнительные сведения см. в описании службы Центра соответствия требованиям безопасности &.
Эффективный поиск в журнале аудита
Ниже приведены советы по поиску действий Teams в журнале аудита.
Выберите определенные действия для поиска, установив флажок рядом с одним или несколькими действиями. Чтобы отменить выделение, выберите действие. Используйте поле поиска, чтобы отобразить действия, содержащие вводимые ключевое слово.
Выберите Показать результаты для всех действий в списке Действия , чтобы отобразить события для действий, выполняемых с помощью командлетов. Если известно имя операции для этих действий, введите ее в поле поиска, чтобы отобразить действие, а затем выберите его.
Выберите Очистить все , чтобы очистить текущие условия поиска. Диапазон дат сбрасывается в значение по умолчанию (последние семь дней).
Если найдено 5 000 результатов, можно предположить, что условиям поиска соответствует более 5 000 событий. Уточните условия поиска и повторно запустите поиск, чтобы получить меньше результатов, или экспортируйте все результаты поиска, выбрав Экспорт>Скачать все результаты. Пошаговые инструкции по экспорту журналов аудита см. в разделе Поиск в журнале аудита.
Сведения об использовании поиска в журнале звука см. в этом видео. Присоединитесь к Ansuman Acharya, менеджеру программы Teams, как он демонстрирует, как выполнять поиск по журналам аудита для Teams.
Действия в Teams
Список всех событий, зарегистрированных для действий пользователей и администраторов в Teams в журнале аудита Microsoft 365, см. в следующих разделах:
- Действия Teams в журнале аудита
- Приложение "Смены" в действиях Teams в журнале аудита
- Обновления приложения в действиях Teams в журнале аудита
API действий управления Office 365
Вы можете использовать API действий управления Office 365 для получения сведений о событиях Teams. Дополнительные сведения о схеме API действий управления для Teams см. в разделе Схема Teams.
Присвоение в журналах аудита Teams
При изменении членства в Teams (например, при добавлении или удалении пользователей) с помощью Microsoft Entra ID, портала администрирования Microsoft 365 или Группы Microsoft 365 API Graph в сообщениях аудита Teams и канале "Общие" отображается существующий владелец команды в качестве инициатора, а не фактического инициатора действия. В этих сценариях проверка Microsoft Entra ID журналы аудита группы Или Microsoft 365, чтобы просмотреть соответствующие сведения.
Использование Defender for Cloud Apps для настройки политик действий
С помощью интеграции Microsoft Defender for Cloud Apps можно настроить политики действий для обеспечения широкого спектра автоматизированных процессов с помощью API поставщика приложений. С помощью этих политик можно отслеживать определенные действия, выполняемые различными пользователями, или следовать неожиданно высоким показателям одного определенного типа действий.
После настройки политики обнаружения действий начинается создание оповещений. Оповещения возникают только для действий, которые происходят после создания политики. Ниже приведены некоторые примеры сценариев использования политик действий в Defender for Cloud Apps для мониторинга действий Teams.
Сценарий внешнего пользователя
С точки зрения бизнеса вы можете следить за добавлением внешних пользователей в среду Teams. Если включить внешних пользователей, рекомендуется отслеживать их присутствие. Для выявления потенциальных угроз можно использовать Defender for Cloud Apps.
На снимке экрана этой политики для отслеживания добавления внешних пользователей показано, как присвоить ей имя, задать серьезность в соответствии с бизнес-потребностями, задать его как (в данном случае) одно действие, а затем установить параметры, которые отслеживают только добавление неинтернациональных пользователей и ограничивают это действие Teams.
Результаты этой политики можно просмотреть в журнале действий:
Здесь можно просмотреть соответствие заданной политике, внести любые изменения по мере необходимости или экспортировать результаты для использования в другом месте.
Сценарий массового удаления
Как упоминалось ранее, можно отслеживать сценарии удаления. Вы можете создать политику, которая отслеживает массовое удаление сайтов Teams. В этом примере вы настроите политику на основе оповещений для обнаружения массового удаления команд в течение 30 минут.
Как показано на снимках экрана, для этой политики можно задать множество различных параметров для отслеживания удаления Teams, включая серьезность, одно или повторяющееся действие, а также параметры, ограничивающие удаление Teams и сайтов. Эти параметры можно задать независимо от шаблона или использовать шаблон в зависимости от потребностей организации.
После создания политики, которая работает для вашей организации, вы можете просмотреть результаты в журнале действий по мере активации событий:
Вы можете выполнить фильтрацию по заданной политике, чтобы просмотреть результаты. Если результаты, полученные в журнале действий, не являются удовлетворительными (возможно, вы видите много результатов или вообще ничего), вы можете настроить запрос, чтобы сделать его более подходящим для того, что вам нужно.
Сценарий оповещений и управления
Вы можете настроить оповещения и отправлять сообщения электронной почты администраторам и другим пользователям при активации политики действий. Вы можете настроить действия автоматического управления, такие как приостановка пользователя или требование повторного входа пользователя. В этом примере показано, как можно приостановить учетную запись пользователя при активации политики действий и определить, что пользователь удалил две или более команд за 30 минут.
Настройка политик обнаружения аномалий с помощью Defender for Cloud Apps
Политики обнаружения аномалий в Defender for Cloud Apps обеспечивают встроенную аналитику поведения пользователей и сущностей (UEBA) и машинное обучение (ML), чтобы можно было немедленно запустить расширенное обнаружение угроз в облачной среде. Так как они включены автоматически, новые политики обнаружения аномалий обеспечивают немедленные результаты, обеспечивая немедленное обнаружение, нацелив на многочисленные аномалии поведения пользователей, компьютеров и устройств, подключенных к сети. Кроме того, новые политики предоставляют больше данных из подсистемы обнаружения Defender for Cloud Apps, что помогает ускорить процесс исследования и сдерживать текущие угрозы.
Мы работаем над интеграцией событий Teams в политики обнаружения аномалий. Сейчас вы можете настроить политики обнаружения аномалий для других продуктов Office и принять меры для пользователей, которые соответствуют этим политикам.