SharePoint 監査ログ勉強会

Transcript

1. SharePoint Online 監査ログ 勉強会 2024/3/19

2. 自己紹介 2 Maekawa • 新潟在住普段は SharePoint Online に関する仕 事をしてます。 •

   「Power Automate Desktop 勉強会」 の運営(近々再開予定) • X: @HiMaekawaSan • QiitaとZenn: maekawawawa • ラーメン とMリーグ が好き

3. 勉強会の概要 3 SharePoint Online に関する監査ログ機能について、学んでみる勉強会 です。 監査ログを参照する機能である Microsoft Purview の監査ログと

   SharePoint サイト コレクション監査ログ機能についてみていきます。 ターゲット レベル 100 (はじめての方向け) ※質問や感想があれば随時チャット欄に記載お願いします。(質問につ いては参加者の方で回答ご存じであればぜひぜひ回答お願いします。)

4. アジェンダ 4 1.実際にログを見てみる 2.Purview の監査ログとサイト コレクション監査ログの違い 3.SharePoint のアクティビティ (Purview) 4.検索の仕方と検索のコツ

   5.ケーススタディ Case 1 ファイルが消えた だれがどうやって消した Case 2 アクセス数の多いファイルを探せ Case 3 <時間があれば>

5. 1.実際にログを見てみる 5 Purview コンプライアンス ポータル上で検索結果 を画面で確認。 CSV ファイルに検索結果をエクスポート できる。 監査ログ

   レコードをエクスポート、構成、表示 する | Microsoft Learn サイトコレクション監査ログ サイト上から Excel ファイルを作成し、 参照する。

6. Purview の監査ログとサイト コレクション監査ログの違い 6 Microsoft Purview 監査ログ サイト コレクション監査ログ レポート

   実行できる場所 Microsoft Purview コンプライアンスポータル SharePoint サイト上 検索できるログ Microsoft 365 各サービスの監査ログ SharePoint の操作ログ 実行できるユーザー コンプライアンスセンターで監査ログの検索を行える 役割が付与されている人※ サイト コレクション管理者 検索範囲(SharePoint) テナント内全サイト コレクション 一つのサイト コレクション 検索可能期間 180日(ライセンス次第で最長10年) 90日(カスタムレポート) その他 Search-UnifiedAuditLog コマンドを使用して PowerSehll から検索可能 SharePoint のログでも、リスト操作や OneDrive同期アプ リ操作は含まれない ※監査ソリューションの概要 手順 2: 監査ログを検索するためのアクセス許可を割り当てる 監査ログを検索またはエクスポートするには、コンプライアンス ポータルの管理者と調査チームのメン バーに 、監査ログの表示専用 ロールまたは 監査ログ ロールを割り当てる必要があります。 両方とも同じデータソースを参照している

7. 3.SharePoint のアクティビティ(Microsoft Purview) 7 監査ログ アクティビティ | Microsoft Learn ・ファイル

   アクティビティとページ アクティビティ ・フォルダー アクティビティ ・SharePoint リスト アクティビティ ・共有アクティビティとアクセス要求アクティビティ ・サイト管理アクティビティ ・サイトの権限のアクティビティ ・同期アクティビティ ※ Microsoft Stream アクティビティ は違います

8. 4.検索の仕方と検索のコツ 8 UTC で指定 (日本時間 -9 時間) 検索対象の アクティビティの指定 サイト

   URL を指定 前方一致検索なら*を付与

9. 4.検索の仕方と検索のコツ(リストの検索) 9 1) 対象のリストの URL をメモ帳などに控えます。 例 : https://contoso.sharepoint.com/sites/Site01/Lists/List001 2)

   上記リストにアクセスし、画面右上の歯車アイコンから [リストの設定] ページにアクセスし、ブラウザーのアドレス バーの、”List=” 以降の値から、” %7B” と末尾の “%7D” を除いた値をコピーします。 例 : 以下アドレスの場合、”4522a483-8a92-4b9b-853a-2b9842844c90” をコピーします。 https://contoso.sharepoint.com/sites/Site01/Lists/List001/_layouts/15/listedit.aspx?List=%7B4522a483-8a92-4b9b- 853a-2b9842844c90%7D 3) 手順 1) のアドレスのリスト名の部分 (List1) を、手順 2) で取得したリスト ID に置き換えます。 例 : https://contoso.sharepoint.com/sites/Site01/Lists/4522a483-8a92-4b9b-853a-2b9842844c90 4) 特定のアイテムを検索する場合は、3) の URL 末尾に以下の形式でアイテムの ID を指定します。* まで含めてください。 ID が 101 のアイテムを検索する場合は以下となります。 例 : https://contoso.sharepoint.com/sites/Site01/Lists/4522a483-8a92-4b9b-853a-2b9842844c90/101* 5) 上記 URL を [ファイル、フォルダー、またはサイト] に指定します。 ※ 上記指定にて検索結果が表示されない場合、アイテムの ID を指定せずリスト ID まで指定した形式 (末尾に * を指定し た状態) で検索を実施し、表示された結果から対象のアイテムのログを確認します。 例 : https://contoso.sharepoint.com/sites/Site01/Lists/4522a483-8a92-4b9b-853a-2b9842844c90*

10. 4.検索の仕方と検索のコツ 10 太平洋標準時間で指定 (日本時間 -16~-17時間) チェック入れなければすべ て選択しているのと同じ

11. 4.検索の仕方と検索のコツ 11 このまま画面が切り替わらない場合 は、レポートの出力先のライブラリ に移動して、ファイルができている 確認します。 この処理は凡そ5分程度でブラウザー 側の待機が終了するので、それを超 えたら画面が切り替わらないです。 そのため、このクルクルが停止した

    ら、以降はライブラリにアクセスし てファイルの有無を確認します。

12. Case 1 ファイルが消えた だれがどうやって消した 12 サイトのごみ箱に入ってないか確認 ↓ 監査ログで検索 ファイル削除系 FileRecycled

    FolderRecycled ↓ 監査ログで検索 ファイルの移動、リネーム可否 FileMoved FolderMoved FileRenamed FolderRenamed UserAgent から利用したアプリケーションの確認 代表的な UserAgent ブラウザー Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36 OneDrive同期アプリ Microsoft SkyDriveSync 24.020.0128.0003 ship; Windows NT 10.0 (22621) Power Automate azure-logic-apps/1.0 (workflow ec743c24b3f84799b10415fcb409612c; version 08585404067555839288) microsoft-flow/1.0

13. Case 2 アクセス数の多いファイルを探せ 13 サイトの利用状況レポートで確認 ファイルの分析機能で確認 ↓ 監査ログで検索 ファイルアクセス FileAccessed

    ObjectID からカウントの取得