Использование аудита общего доступа в журнале аудита
Общий доступ является ключевым действием в SharePoint Online и OneDrive для бизнеса и широко используется в организациях. Администраторы могут использовать аудит общего доступа в журнале аудита, чтобы определить, как общий доступ используется в их организации.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
События общего доступа (не включая события, связанные с политикой общего доступа и ссылками общего доступа) отличаются от событий, связанных с файлами и папками, одним основным способом: один пользователь выполняет действие, которое влияет на другого пользователя. Например, когда ресурс User A предоставляет пользователю B доступ к файлу. В этом примере пользователь А — это действующий пользователь , а пользователь Б —целевой пользователь. В схеме файла SharePoint действие действующего пользователя влияет только на сам файл. Когда пользователь A открывает файл, единственными сведениями, необходимыми для события FileAccessed , является действующий пользователь. Чтобы устранить это различие, существует отдельная схема, называемая схемой общего доступа SharePoint , которая собирает дополнительные сведения о событиях общего доступа. Это гарантирует, что администраторы будут видеть, кто предоставил общий доступ к ресурсу и пользователя, которому был предоставлен общий доступ.
Схема общего доступа предоставляет два дополнительных поля в записи аудита, связанной с событиями общего доступа:
- TargetUserOrGroupType: Определяет, является ли целевой пользователь или группа участником, гостью, SharePointGroup, группой безопасности или партнером.
- TargetUserOrGroupName: Сохраняет имя участника-пользователя или имя целевого пользователя или группы, которым был предоставлен общий доступ к ресурсу (пользователь B в предыдущем примере).
Эти два поля в дополнение к другим свойствам из схемы журнала аудита, таким как User, Operation и Date, могут рассказать полную историю о том, какой пользователь предоставил кому и когда общий доступ к ресурсу.
Существует еще одно свойство схемы, важное для истории общего доступа. При экспорте результатов поиска в журнале аудита в столбце AuditData в экспортируемом CSV-файле хранятся сведения о событиях общего доступа. Например, когда пользователь предоставляет общий доступ к сайту другому пользователю, это достигается путем добавления целевого пользователя в группу SharePoint. В столбце AuditData эти сведения записываются для предоставления контекста администраторам. Инструкции по анализу данных в столбце AuditData см. в разделе Шаг 2.
Общий доступ определяется тем, когда пользователь ( действующий пользователь) хочет предоставить доступ к ресурсу другому пользователю ( целевому пользователю). Записи аудита, связанные с предоставлением доступа к ресурсу внешнему пользователю (пользователю, который находится за пределами вашей организации и не имеет гостевой учетной записи в идентификаторе Microsoft Entra вашей организации), определяются следующими событиями, которые регистрируются в журнале аудита:
- SharingInvitationCreated: Пользователь в вашей организации пытался предоставить доступ к ресурсу (скорее всего, сайту) с внешним пользователем. В результате целевому пользователю будет отправлено внешнее приглашение для общего доступа. На этом этапе доступ к ресурсу не предоставляется.
- SharingInvitationAccepted: Внешний пользователь принял приглашение общего доступа, отправленное действующим пользователем, и теперь имеет доступ к ресурсу.
- AnonymousLinkCreated: Для ресурса создается анонимная ссылка (также называемая ссылкой "Любой пользователь"). Так как анонимную ссылку можно создать, а затем скопировать, разумно предположить, что любой документ с анонимной ссылкой был предоставлен целевому пользователю.
- AnonymousLinkUsed: Как следует из названия, это событие регистрируется, когда для доступа к ресурсу используется анонимная ссылка.
- SecureLinkCreated: Пользователь создал "ссылку на определенных людей", чтобы предоставить доступ к ресурсу определенному пользователю. Этот целевой пользователь может быть внешним пользователем вашей организации. Пользователь, которому предоставлен общий доступ к ресурсу, определяется в записи аудита для события AddedToSecureLink . Метки времени для этих двух событий практически идентичны.
- AddedToSecureLink: Пользователь был добавлен в определенную ссылку на людей. Используйте поле TargetUserOrGroupName в этом событии, чтобы идентифицировать пользователя, добавленного в соответствующую ссылку на конкретных пользователей. Этот целевой пользователь может быть внешним пользователем вашей организации.
Если пользователь (действующий пользователь) хочет предоставить доступ к ресурсу другому пользователю (целевому пользователю), SharePoint (или OneDrive для бизнеса) сначала проверяет, связан ли адрес электронной почты целевого пользователя с учетной записью пользователя в каталоге организации. Если целевой пользователь находится в каталоге (и имеет соответствующую учетную запись гостевого пользователя), SharePoint выполняет следующие действия:
- Немедленно назначает целевому пользователю разрешения на доступ к ресурсу, добавляя целевого пользователя в соответствующую группу SharePoint, и регистрирует событие AddedToGroup .
- Отправляет уведомление о совместном доступе на адрес электронной почты целевого пользователя.
- Регистрирует событие SharingSet . Это событие имеет понятное имя "Общий файл, папка или сайт" в разделе Действия общего доступа и запроса доступа в средстве выбора действий средства поиска по журналам аудита. См. снимок экрана в шаге 1.
Если учетная запись пользователя для целевого пользователя отсутствует в каталоге, SharePoint выполняет следующие действия:
Регистрирует одно из следующих событий в зависимости от того, как предоставляется общий доступ к ресурсу:
- AnonymousLinkCreated
- SecureLinkCreated
- AddedToSecureLink
- SharingInvitationCreated (это событие регистрируется только в том случае, если общий ресурс является сайтом)
Когда целевой пользователь принимает отправленное ему приглашение общего доступа (щелкнув ссылку в приглашении), SharePoint регистрирует событие SharingInvitationAccepted и назначает целевому пользователю разрешения на доступ к ресурсу. Если целевому пользователю отправляется анонимная ссылка, событие AnonymousLinkUsed регистрируется после того, как целевой пользователь использует ссылку для доступа к ресурсу. Для безопасных ссылок событие FileAccessed регистрируется, когда внешний пользователь использует ссылку для доступа к ресурсу.
Также регистрируются дополнительные сведения о целевом пользователе, например удостоверение пользователя, которому выполняется приглашение, и пользователя, который принимает приглашение. В некоторых случаях эти пользователи (или адреса электронной почты) могут отличаться.
Распространенным требованием для администраторов является создание списка всех ресурсов, которыми предоставлен общий доступ пользователям за пределами организации. Используя аудит общего доступа в Office 365, администраторы могут создать этот список. Ниже приведено описание процедуры.
Первым шагом является поиск событий общего доступа в журнале аудита. Дополнительные сведения (включая необходимые разрешения) о поиске в журнале аудита см. в разделе Поиск в журнале аудита.
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. на портале соответствия требованиям Microsoft Purview.
Выполните следующие действия, чтобы найти события общего доступа:
Войдите на портал Microsoft Purview.
Выберите карточку Решение аудита . Если карточка Решение аудита не отображается, выберите Просмотреть все решения , а затем выберите Аудит в разделе Основные .
На странице Поиск и в разделе Действия — понятные имена выберите Действия общего доступа и запросы доступа , чтобы найти события, связанные с общим доступом.
Выберите диапазон даты и времени, чтобы найти события общего доступа, произошедшие в течение этого периода.
Выберите Поиск , чтобы выполнить поиск.
После завершения поиска и отображения результатов выберите Экспорт> результатовСкачать все результаты.
После выбора параметра экспорта в нижней части окна появится сообщение с предложением открыть или сохранить CSV-файл.
Выберите Сохранить>как и сохраните CSV-файл в папку на локальном компьютере.
Следующим шагом является использование функции преобразования JSON в редакторе Power Query в Excel для разделения каждого свойства в столбце AuditData (который состоит из объекта JSON с несколькими свойствами) на собственный столбец. Это позволяет фильтровать столбцы для просмотра записей, связанных с общим доступом.
Пошаговые инструкции см. в пункте "Этап 2. Форматирование экспортированного журнала аудита с помощью редактора Power Query" в разделе Экспорт, настройка и просмотр записей журнала аудита.
Следующим шагом является фильтрация CSV-файла по различным событиям, связанным с общим доступом, которые ранее были описаны в разделе События общего доступа SharePoint . Кроме того, можно отфильтровать столбец TargetUserOrGroupType , чтобы отобразить все записи, в которых это свойство имеет значение Guest.
После выполнения инструкций на предыдущем шаге по подготовке CSV-файла с помощью редактора PowerQuery выполните следующие действия.
Откройте файл Excel, созданный на шаге 2.
На вкладке Главная выберите Сортировка & Фильтр, а затем — Фильтр.
В раскрывающемся списке Фильтр & сортировки в столбце Операции снимите все выбранные значения, выберите одно или несколько следующих событий, связанных с общим доступом, а затем нажмите кнопку ОК.
- SharingInvitationCreated
- AnonymousLinkCreated
- SecureLinkCreated
- AddedToSecureLink
Excel отображает строки для выбранных событий.
Перейдите к столбцу TargetUserOrGroupType и выберите его.
В раскрывающемся списке Сортировка & фильтр очистите все выбранные элементы, а затем выберите TargetUserOrGroupType:Guest и нажмите кнопку ОК.
Теперь Excel отображает строки для совместного использования событий И, где целевой пользователь находится за пределами вашей организации, так как внешние пользователи идентифицируются по значению TargetUserOrGroupType:Guest.
Совет
Для отображаемых записей аудита столбец ObjectId определяет ресурс, к которому был предоставлен общий доступ целевому пользователю; например ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx
.