Son yıllarda sistem yöneticileri artık kabuklarını kırarak güvenlik tarafında mecburen donanmak ve bilgi sahibi olmak zorunda kaldılar. Bunları tetikleyen nedenler arasında siber saldırılar ve standartlara uyum sebebi gelmektedir. Bu nedenle artık bir çok sistem üzerindeki hareketlerin kayıt altına alınması ve buna göre izleme ve aksiyon alınması gereksinimi doğmuştur. Bu makalemizde ofis üzerinde admin ve kullanıcı tarafında oluşan log aksiyonlarını ele alıyor olacağız.
Ofis 365 üzerinde audit yapabilmek için defaultta kapalı olan ayarları aktif etmemiz gerekmektedir. Ayarları aktif ettikten sonra log izlemesi yapabiliriz. Şimdi adımlarımıza gelelim. Öncelikle yönetici panelimizi açalım. Açılan ekranımızda Compliance menüsüne girelim.
Bu ekranımızda güvenlikle ilgili bir çok işlemler yapabilmekte rapor alabilmekte MDM yönetimi gibi komplex işlemler yapabilmekteyiz. Burada Arama ve araştırma menüsüne girelim.
Ekranımızda audit özelliğini açabilmemiz için Kullanıcı ve Yönetici etkinliklerini kaydetmeye başla linkine tıklayalım.
Gelen uyarıda audit özelliğini etkinleştime konusunda bir uyarı gelmektedir. Gelen uyarıda Etkinleştir butonuna tıklayalım.
Kuruluş ayarlarında bir güncelleme gerekmekte bu nedenle gelen uyarıya EVET butonuna tıklayarak yanıt verelim.
Ayarımız organizasyon bazında aktif ediliyor.
Şu anda ayarımız aktif edildi. Bir kullanıcı için tüm aktiviteleri izlemek için gerekli bilgileri giriyor ve Ara butonuna basıyorum.
Fakat hiçbir aktivite yok. Ayarı yeni aktif ettiğimiz için biraz beklememiz gerekmekte. Veya bu işlemi powershell üzerinden hızlandırmamız gerekmektedir.
Powershell ile bağlantı sağlayıp ayarlarımızı aşağıdaki komut ile kontrol edelim.
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Format-List Name,Audit*
Şu anda görüldüğü gibi Audit Enable : False durumda yani ayarlarımız kullanıcılarımıza yansımamış. Bunun için bekleyebilir veya durumu powershell ile tetikleyebiliriz.
Aşağıdaki komutu kullanarak Organizasyon bazında tüm auditleri açalım.
Get-mailbox -Filter {(RecipientTypeDetails -eq ‘UserMailbox’)} | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Dilersek sadece istediğimiz kullanıcılara ve istediğimiz auditlere göre seçim yapabiliriz. Bu işlem için aşağıdaki sayfadaki komut setlerinden yararlanabilirsiniz.
https://technet.microsoft.com/en-us/library/dn879651.aspx
Şimdi tekrardan aşağıdaki komut setimizi çalıştırdığımızda auditlerin tüm kullanıcılar için aktif olduğunu görebilmekteyiz.
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Format-List Name,Audit*
Şimdi tekrardan iki kullanıcı seçip bunların tüm aktivitelerini izlediğimizde loğların gelmeye başladığını görebilmekteyiz.
Şimdi birkaç aksiyon yapıyorum. Bir kullanıcı ekliyorum.
Kullanıcımız eklendi.
Gerekli aksiyonlar ekranımıza yansıdı.
Tüm aksiyonlar yerine belli aksiyonları da seçerek gui ortamdan loglayabiliriz.
Umarım yararlı olmuştur. Bir başka makalemizde görüşmek dileğiyle.