在 Exchange Online 和 SharePoint Online 中使用 Office 365 工具進行安全性調查

 

上次修改主題的時間:2016-12-21

摘要:Office 365 有好幾個特別為資訊和資料安全性而設計的功能。當您需要執行安全性相關的調查時,Office 365 有各種能協助您進行鑑識分析的工具。您自己就能使用這些功能,不一定要有 Microsoft 客戶支援服務在旁協助。

本文著重於 Office 365 中提供的功能,這些功能可協助您管理安全性問題,或對疑似問題執行鑑識分析。其中有些功能需要先行啟用和設定,才能用於進行分析和調查。一旦您啟用這些功能,系統將以稽核記錄、記錄檔和報告等形式建立其他資訊供您使用。

您必須先建立記錄檔及稽核記錄,才能在 Office 365 服務的鑑識安全性調查工作中分析這些記錄檔和稽核記錄。Office 365 的部分功能,例如 Exchange Online、Exchange Online Protection、SharePoint Online 和 Microsoft Azure Active Directory,能夠建立各種活動的記錄檔記錄和稽核線索,包括非擁有者信箱存取、郵件路由和傳遞,以及使用者和系統管理員所採取的動作。

依預設不會記錄和稽核所有活動。例如信箱存取之類的活動就未預設要進行稽核,若要記錄這些活動,就必須先啟用稽核功能。

下列某些功能需要特定的 Office 365 或 Microsoft Intune SKU。如需可用性的相關資訊,請參閱<Office 365 服務說明>。

 

工作負載 適用範圍 如需詳細資訊,請參閱...

Office 365 (全部)

稽核報告

Office 365 安全規範中心內的報告

Office 365 裝置管理

行動裝置管理

Office 365 的行動裝置管理概觀

Intune 裝置管理

行動裝置管理

透過報表來了解 Microsoft Intune 作業

Exchange Online

稽核報告

啟用信箱稽核記錄

匯出信箱稽核記錄

執行非擁有者信箱存取報告

執行每個信箱的訴訟資料暫留報告

搜尋角色群組變更或管理員稽核記

檢視和匯出資料中心管理員稽核記錄

資料遺失防護

檢視關於 DLP 原則偵測的報告

建立 DLP 原則偵測的事件報告

從範本建立 DLP 原則

就地 eDiscovery

建立就地 eDiscovery 搜尋

啟動或停止就地 eDiscovery 搜尋

修改就地 eDiscovery 搜尋

匯出 eDiscovery 搜尋結果

建立探索信箱

就地保留

建立或移除就地保留

通訊記錄管理

建立保留原則

在保留原則中新增或移除保留標記

將保留原則套用至信箱

將信箱設為保留功能狀態

傳輸規則

管理傳輸規則

傳輸規則動作

Exchange Online Protection

郵件保護報告

使用 Excel 報告活頁簿的郵件保護報告

追蹤電子郵件訊息

執行郵件追蹤和檢視結果

隔離

管理隔離的郵件

SharePoint Online

SharePoint 稽核記錄

設定網站集合的稽核設定

Azure Active Directory

Azure AD 使用方式報表

檢視存取和使用情況報告

Azure Active Directory 版本

您可以搭配使用內部部署的安全事件和事件管理員 (SIEM) 解決方案與 Office 365 管理活動 API,取得和規範中心中提供之資訊相同的報告資訊,但是與 SIEM 整合。您可以管理內部部署報告,並無限期保存此內部部署資訊。如需詳細資訊,請參閱:

您可以檢視報告,以了解組織內的人員如何透過安全規範中心來使用 Office 365。在安全規範中心內使用報告可讓您從 Office 365 的單一儀表板開始針對 Exchange Online 和 SharePoint Online 進行安全性調查。

您必須是存取 Office 365 組織中的全域管理員,才能存取安全規範中心;或是全域管理員已將存取權限指派給您,您才能存取安全規範中心。如需詳細資訊,請參閱 Office 365 安全規範中心權限

連線至 Office 365 的安全規範中心
  1. 前往 Office 365 安全規範中心

  2. 以工作或學校帳戶登入 Office 365。

本文剩下的部分會提供三個安全性調查範例,說明如何使用 Office 365 中提供的鑑識分析和調查工具。

  • Exchange Online 中的潛在資料外洩

  • SharePoint Online 中的潛在資料外洩

  • Exchange Online 中的系統管理員活動分析

安全性主管 Paul 收到來自董事會成員的要求,內容是關於可能發生資料外洩。董事會成員 Amy 懷疑她的團隊中有人透過她的信箱洩漏與公司策略有關的機密資訊。為了調查外洩事件,Paul 可以檢閱非擁有者信箱存取報告、匯出系統管理員稽核記錄檔,並檢閱已用來登入之裝置和應用程式的清單。

為了順利執行此鑑識分析,Paul 按照下列方法來進行:

  1. Paul 會確認過去是否有人連線到 Amy 的信箱。

  2. 如果有人曾連線到 Amy 的信箱,Paul 會追蹤這段連線期間傳送的任何郵件。

  3. Paul 會搜尋該連線來自哪個裝置或應用程式。

開始之前:

  • 您必須已獲指派權限,才能執行此工作。您必須是相符性管理角色群組的成員。

  • 您必須針對想要執行非擁有者信箱存取報告的每個信箱啟用信箱稽核記錄。如果未啟用信箱的信箱稽核記錄,當您執行報告時,就不會得到任何結果。報告中只會出現啟用稽核後發生的活動。如需啟用信箱稽核記錄的指示,請參閱啟用 Office 365中的信箱稽核

執行非擁有者信箱存取報告
  1. 在 安全規範中心 中,選擇 [報告] > [檢視報告]

  2. 在[稽核] 下,選擇 [Exchange 稽核報告]。

  3. 若要搜尋已有擁有者以外的人開啟過之信箱的信箱稽核記錄,請選取 [執行非擁有者信箱存取報告]。

  4. 指定日期範圍,然後按一下 [選取信箱] 以選取您想要搜尋的信箱。

  5. 從 [搜尋存取依據] 下拉式清單中選擇 [所有非擁有者],來選取搜尋非擁有者存取。

  6. 選擇 [搜尋] 來執行搜尋並產生報告。

  7. 結果會顯示在 [搜尋結果] 區域。選擇印表機圖示來列印結果。

如果非擁有者信箱存取報告中的結果指出,已有一或多個非擁有者存取選取的信箱,而您想要確認這些非擁有者是否有存取信箱的權限,則下個步驟是匯出系統管理員稽核記錄。

開始之前:

  • 您必須已獲指派權限,才能執行此工作。若要查看所需權限,請參閱 Exchange 和 Shell 基礎結構權限中「Exchange 基礎結構權限」底下的「僅檢視系統管理員稽核記錄」。

  • 如果您匯出系統管理員稽核記錄,Microsoft Exchange 會將稽核記錄 (XML 檔案) 附加至電子郵件,而此電子郵件則會傳送給您指定的收件者。但是,Outlook Web App 預設會封鎖 XML 附件。如果您想要使用 Outlook Web App 來存取這些稽核記錄,您必須設定 Outlook Web App 以允許 XML 附件。如需如何允許在 Outlook Web App 中附加 XML 附件的詳細資料,請參閱檢視和匯出外部系統管理員稽核記錄

匯出系統管理員稽核記錄
  1. 在 安全規範中心 中,選擇 [報告] > [檢視報告]

  2. 在[稽核] 下,選擇 [Exchange 稽核報告]。

  3. [稽核報告] 中,選取 [執行系統管理員稽核記錄報告] 以匯出系統管理員稽核記錄進行分析。

  4. 指定日期範圍,然後選擇 [搜尋]。

    結果會顯示在 [搜尋結果] 區域。

  5. 您也可以:

    • 選取其中一個列出的項目,然後選擇印表機圖示來列印該項目。

    • 返回 [稽核報告],然後選擇 [匯出系統管理員稽核記錄] 來將結果以 XML 檔案傳送給一或多個收件者。

如有必要,使用 Exchange Online 的郵件追蹤功能來追蹤郵件,查看資料是否傳送到組織外部。

開始之前:

在信箱連線追蹤郵件
  1. 在 EAC 中,瀏覽至 [郵件流程] > [郵件追蹤]

  2. 視搜尋的內容而定,您可以在下列欄位中輸入值。若為 7 天內的郵件,則不需要輸入此步驟中的任何欄位。您可以選擇 [搜尋],擷取預設期間 (過去 48 小時) 內的所有郵件追蹤資料。

    • 日期範圍:使用下拉式清單,選擇搜尋過去 24 小時、48 小時或 7 天內傳送或接收的郵件。您也可以選取過去 90 天內任何範圍的自訂時間範圍。您也可以變更自訂搜尋的時區 (國際標準時間 (UTC))。

    • 傳遞狀態:使用下拉式清單,選取您要檢視相關資訊的郵件狀態。保留預設值 [全部],以涵蓋所有狀態。其他可能的值為:

      • 已傳遞:郵件已成功傳遞至預定目的地。

      • 失敗:郵件並未傳遞。已嘗試傳遞但失敗,或因為篩選服務所採取的動作而未傳遞郵件。例如,若郵件經判定確實包含惡意程式碼。

      • 擱置:正在嘗試或重新嘗試傳遞郵件。

      • 已展開:郵件已傳送至通訊群組清單並已展開,所以可個別檢視清單成員。

      • 未知:此時的郵件傳遞狀態不明。列出查詢的結果後,傳遞詳細資料欄位不包含任何資訊。

    • 郵件 ID:這是在具有 “Message-ID:” 之郵件的標頭中找到的網際網路郵件 ID (也稱為「用戶端 ID」)。。使用者可為您提供此資訊,以便調查特定郵件。此 ID 必須是唯一的;但是,它的產生依存於傳送郵件系統,而且並非所有傳送郵件系統都以相同的方式產生 ID。因此,查詢單一郵件 ID 時,可能會取得多封郵件的結果。

    • 寄件者:您可以選擇 [寄件者] 欄位旁邊的 [新增寄件者],將搜尋範圍縮小為特定寄件者。在後續的對話方塊中,從使用者選擇器清單中選取您公司的一或多位寄件者,然後選擇 [新增]。若要新增不在清單上的寄件者,請輸入其電子郵件地址,然後選擇 [檢查名稱]。在此方塊中,電子郵件地址支援萬用字元,格式如下:*@contoso.com。指定萬用字元時,無法使用其他地址。當您完成選取時,請選擇 [確定]。

    • 收件者:您可以按一下 [收件者] 旁的 [新增收件者],將搜尋範圍縮小為特定收件者。在後續的對話方塊中,從使用者選擇器清單中選取您公司的一或多位收件者,然後選擇 [新增]。若要新增不在清單上的收件者,請輸入其電子郵件地址,然後選擇 [檢查名稱]。在此方塊中,電子郵件地址支援萬用字元,格式如下:*@contoso.com。指定萬用字元時,無法使用其他地址。當您完成選取時,請選擇 [確定]。

  3. 如果您是搜尋超過 7 天的郵件,請指定下列參數值,否則您可以跳過此步驟:

    • 報告包括郵件事件和路由詳細資料:只有在您的目標設為一或多個特定郵件時,我們才建議您選取此核取方塊,因為包括事件詳細資料會產生較大型的報告,因而需要較長時間進行處理。

    • 方向:使用下拉式清單,選擇是否要搜尋 [全部郵件] (這是預設值)、[傳送至組織的輸入郵件],或是 [從組織傳送的輸出郵件]。

    • 原始用戶端 IP 位址:指定寄件者用戶端的 IP 位址。

    • 報告標題   指定此報告的唯一識別碼。這也會用作電子郵件通知的主旨行文字。預設值是 "Message trace report <day of the week>, <current date> <current time>"。例如,"Message trace report Friday, February 27, 2015 7:21:09 AM"。

    • 通知電子郵件地址   指定想要在郵件追蹤完成時接收到通知的電子郵件地址。此地址必須位於公認的網域清單內。

  4. 選擇 [搜尋] 以執行郵件追蹤。如果您即將到達 24 小時期間內可以執行的追蹤數量臨界值,則會收到警告。

  5. 檢閱郵件追蹤結果,若有需要,在每個列出的項目上按兩下,檢閱每一封郵件的追蹤資訊。

您可能會想要檢查 Azure Active Directory 中的裝置與 IP 連線資訊,以便調查您所找出之任何連線的來源。若要這麼做,您可以透過 Azure Active Directory 報告檢閱登入活動。為了檢查使用者用來連線的裝置和應用程式,您接著必須選取特定的使用者。

檢閱 Azure Active Directory 報告
  1. 在 安全規範中心 中,選擇 [報告] > [檢視報告]

  2. 在[稽核] 下,選擇 [Azure AD 報告]。

  3. 在 Azure 管理入口網站的 [Active Directory] 索引標籤上,選擇您的組織名稱。

  4. 在您的組織名稱之下,按一下 [報告]。

  5. 選擇您想要檢視的特定報告。如需可用報告的說明,請參閱使用 Azure Active Directory 登入及稽核報告

檢查特定使用者用來連線至 Office 365 信箱的裝置和應用程式
  1. 在 安全規範中心 中,選擇 [報告] > [檢視報告]

  2. 在[稽核] 下,選擇 [Azure AD 報告]。

  3. 在 Azure 管理入口網站的 [Active Directory] 索引標籤上,選擇您的組織名稱。

  4. 在您組織的名稱下,選擇 [使用者]。

  5. 找出您想要調查的使用者並選擇其使用者名稱。

  6. 在使用者頁面上,選擇 [裝置]。

  7. 在 [檢視] 下拉式清單中,選取 [使用者用來登入的裝置和應用程式]。這將提供詳細資料,例如用來登入的用戶端版本、上次登入時間、IP 位址和使用者的位置。

任職於金融機構的法務人員 Shannon 收到 Scott 所提出的要求,希望她查一下 Scott 團隊的網站中發生的疑似資料外洩事件。為了調查外洩事件,Shannon 可以檢閱誰有權存取 SharePoint Online 網站 (如有必要還可停用共用功能)、誰能管理 SharePoint Online 網站,以及 SharePoint Online 網站的共用對象。此外,Shannon 還可以檢閱稽核報告,以及用來登入之裝置和應用程式的清單。

開始之前:

  • 如果網站已啟用稽核功能,您只可以檢閱稽核報告。如需啟用 SharePoint 網站稽核功能的相關資訊,請參閱設定網站集合的稽核設定

檢閱 Office 365 中的稽核記錄報告
  1. 在 Office 365 系統管理中心內,按一下 [外部共用] > [網站]。這會顯示所有 SharePoint Online 網站和其共用設定的清單。確認共用設定是否適當。選取網站,然後選擇鉛筆圖示來檢視和編輯共用設定。

  2. 在 SharePoint 系統管理中心內,選擇 [網站集合]。選取您想要檢查的網站,然後選擇 [擁有者] > [管理系統管理員]。確認網站系統管理員的清單是否適當。(選用) 如果您的帳戶是網站的系統管理員,您可以開啟網站,然後從 [設定] 下拉式清單選擇 [共用對象]。這會顯示網站的所有共用對象使用者和其共用權限的清單。如果列出不適當的使用者,您可以選取使用者,然後選擇 [從網站集合刪除使用者]。

  3. 在 安全規範中心 中,選擇 [報告] > [檢視報告]

  4. 若要產生您分析所需資料的報告,請在 [稽核] 下方選擇 [Office 365 稽核記錄報告]。

  5. 指定適合進行調查的日期範圍。

  6. 在 [活動] 清單中,選取 [顯示所有活動結果],然後再選擇 [搜尋]。結果會顯示在 [結果] 區域。

    如果您確定某個使用者帳戶被用來外洩資料,您也可以檢查該使用者用來連線的裝置和應用程式。 如需搜尋 Office 365 稽核記錄的詳細資訊,請參閱搜尋 Office 365 安全與規範中心的稽核記錄

如果您確定某個使用者帳戶被用來外洩資料,您也可以檢查該使用者用來連線的裝置和應用程式。

檢視使用者用來登入 Office 365 的裝置和應用程式
  1. 在 安全規範中心 中,選擇 [報告] > [檢視報告]

  2. 在[稽核] 下,選擇 [Azure AD 報告]。

  3. 在 Azure 管理入口網站的 [Active Directory] 索引標籤上,選擇您的組織名稱。

  4. 在您組織的名稱下,選擇 [使用者]。

  5. 找出您想要調查的使用者並選擇其使用者名稱。

  6. 在使用者頁面上,選擇 [裝置]。

  7. 在 [檢視] 下拉式清單中,選擇 [使用者用來登入的裝置和應用程式]。這將提供詳細資料,例如用來登入的用戶端版本、上次登入時間、IP 位址和使用者的位置。

安全性主管 Susan 收到 John 提出的要求,內容是關於廠商信箱遺失。Susan 將會調查是誰刪除了信箱及何時刪除。為了調查遺失的信箱,Susan 可以驗證 Office 365 系統管理中心內的使用者帳戶,包括檢查使用者是否已獲指派授權,因此能夠看到全域通訊清單 (GAL)。Susan 也可以使用 Exchange 系統管理中心查看信箱是否列為已刪除的信箱。如果信箱已對 GAL 隱藏或已遭刪除,Susan 可以執行系統管理員稽核記錄報告,以查看用來進行變更的帳戶。最後,Susan 也可以檢閱稽核報告,以及用來登入之裝置和應用程式的清單。

開始之前:

  • 您必須已獲指派權限,才能執行此工作。若要查看所需權限,請參閱 Exchange 和 Shell 基礎結構權限中「Exchange 基礎結構權限」底下的「僅檢視系統管理員稽核記錄」。如需匯出稽核報告,您也必須是相符性管理角色群組的成員。如需管理此角色成員資格的相關資訊,請參閱相符性管理

  • 您必須針對想要執行非擁有者信箱存取報告的每個信箱啟用信箱稽核記錄。如果未啟用信箱的信箱稽核記錄,當您執行報告時,就不會得到該信箱的任何結果。報告中只會出現啟用稽核後發生的活動。如需啟用信箱稽核記錄的指示,請參閱啟用 Office 365中的信箱稽核

  • 如果您匯出系統管理員稽核記錄,Microsoft Exchange 會將稽核記錄 (XML 檔案) 附加至傳送給您指定之收件者的電子郵件內。但是,Outlook Web App 預設會封鎖 XML 附件。如果您想要使用 Outlook Web App 來存取這些稽核記錄,您必須設定 Outlook Web App 以允許 XML 附件。如需如何允許在 Outlook Web App 中附加 XML 附件的詳細資料,請參閱檢視和匯出外部系統管理員稽核記錄

找出信箱是否對通訊清單隱藏或標示為已刪除的信箱
  1. 在 Office 365 系統管理中心內,選擇 [使用者] > [作用中的使用者]。

  2. 查看使用者是否在作用中的使用者清單內。

    • 如果使用者在清單內,則選取使用者,然後在指派的授權下的詳細資料窗格中選擇 [編輯]。這會顯示是否已將授權指派給使用者。選擇 [捨棄] 來關閉 [授權] 頁面。選擇 [編輯 Exchange 內容]。在 [一般] 頁面上,確認沒有勾選 [從通訊清單隱藏]。

    • 如果使用者不在清單中,則選擇 [系統管理] > [Exchange] 以開啟 Exchange 系統管理中心。瀏覽至 [收件者] > [信箱],選擇省略符號 (...),然後選取 [已刪除的信箱]。查看使用者是否在已刪除的信箱清單中。

如果信箱已遭刪除並已啟用稽核,您可以檢視系統管理員稽核記錄來查看是誰刪除了信箱。

找出是誰刪除了 Exchange Online 中的使用者信箱
  1. 在 安全規範中心 中,選擇 [報告] > [檢視報告]

  2. 在[稽核] 下,選取 [Exchange 稽核報告]

  3. [稽核報告] 中,選擇 [執行系統管理員稽核記錄報告] 以匯出系統管理員稽核記錄進行分析。

  4. 指定日期範圍,然後選擇 [搜尋]。

    結果會顯示在 [搜尋結果] 區域。

  5. 您也可以:

    • 選取其中一個列出的項目,然後選擇印表機圖示來列印該項目。

    • 返回 [稽核報告],然後選擇 [匯出系統管理員稽核記錄] 來將結果以 XML 檔案傳送給一或多個收件者。

如果您確定了用來刪除信箱的使用者帳戶,您可以檢查該使用者用來連線的裝置和應用程式。

檢查用來連線至 Office 365 以刪除 Exchange Online 信箱的裝置和應用程式
  1. 在 安全規範中心 中,選擇 [報告] > [檢視報告]

  2. 在[稽核] 下,選擇 [Azure AD 報告]。

  3. 在 Azure 管理入口網站的 [Active Directory] 索引標籤上,選擇您的組織名稱。

  4. 在您組織的名稱下,選擇 [使用者]。

  5. 找出您想要調查的使用者並選擇其使用者名稱。

  6. 在使用者頁面上,選擇 [裝置]。

  7. 在 [檢視] 下拉式清單中,選擇 [使用者用來登入的裝置和應用程式]。這將提供詳細資料,例如用來登入的用戶端版本、上次登入時間、IP 位址和使用者的位置。

 
顯示: