A opção de Auditoria é um recurso muito útil que nos permite obter informações detalhadas sobre todas as operações e as atividades relacionadas as mailboxes. De modo geral, há vários tipos de auditoria. Neste artigo, eu gostaria de focar no tipo de auditoria descrito como: “Acesso à mailbox não-proprietário” (Non-Owner Mailbox Access). Esta opção permite-nos obter informações detalhadas sobre: quem fez o quê e quando, em relacão a uma mailbox específica.
A Mailbox Audit incluem três níveis:
• AuditOwner – informações sobre as operações/atividades realizadas pelo proprietário com a caixa de correio. Esta opção de auditoria não é suportado no Exchange Online (Office 365), no momento atual.
• AuditAdmin – informações sobre as operações/atividades realizadas pelo administrador para uma caixa de correio específica.
• AuditDelegate – informações sobre as operações/atividades realizadas por outros destinatários (delegado) para uma caixa de correio específica.
A auditoria de acesso à caixa postal não-proprietário não está habilitado por padrão. Significa que, caso, seja necessário usar está opção de auditoria, teremos de “ligar”. A opção de caixa de correio de auditoria é apropriado para um cenário como: Um ou mais usuários se queixam de que um e-mail é sumiu de sua caixa de correio, e ele não tem idéia de como isso aconteceu. Outro cenário apropriado pode ser quando há suspeitas que o “alguém” tentou o acesso não autorizado à caixa de correio de um outro usuário, e assim por diante
1 – Habilitar/Desabilitar o Mailbox Audit ( Non-Owner Mailbox Access Report )
Habilitar Mailbox Audit (Non-Owner Mailbox Access Report) para uma mailbox especifica
Exemplo:
Set-Mailbox Joao -AuditEnabled $True
Habilitar Mailbox Audit (Non-Owner Mailbox Access Report) para todas as mailboxes do Office 365 (Bulk mode)
Exemplo:
$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq ‘UserMailbox’)} $UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $True}
Desabilitar Mailbox Audit (Non-Owner Mailbox Access Report) para uma mailbox especifica
Exemplo:
Set-Mailbox Joao -AuditEnabled $False
Desabilitar Mailbox Audit (Non-Owner Mailbox Access Report) para todas as mailboxes do Office 365 (Bulk mode)
Exemplo:
$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq ‘UserMailbox’)} $UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $False}
2 – Definir o tipo de Mailbox Audit + Non default Audit operations
Definir Mailbox Audit – AuditAdmin
Exemplo:
Set-Mailbox Joao -AuditAdmin Create,FolderBind,SendAs,SendOnBehalf,SoftDelete,HardDelete,Update,Move,MoveToDeletedItems
Definir Mailbox Audit – AuditDelegate
Exemplo:
Set-Mailbox Joao -AuditDelegate Create,FolderBind,SendAs,SendOnBehalf,SoftDelete,HardDelete,Update,Move,MoveToDeletedItems
Habilitar Audit + Definir Mailbox Audit para AuditAdmin e AuditDelegate
Exemplo:
Set-mailbox Joao -AuditEnabled $True -AuditDelegate Create,FolderBind,SendAs,SendOnBehalf,SoftDelete,HardDelete,Update,Move,MoveToDeletedItems -AuditAdmin Create,FolderBind,SendAs,SendOnBehalf,SoftDelete,HardDelete,Update,Move,MoveToDeletedItems
3 – Exibir informações sobre configurações de Auditoria
Exibir informações sobre logs de auditoria de uma mailbox especifica – AuditDelegate
Exemplo:
Get-Mailbox Joao | Select-Object –ExpandProperty AuditDelegate
Exibir informações sobre logs de auditoria de uma mailbox especifica – AuditAdmin
Exemplo:
Get-Mailbox Joao | Select-Object –ExpandProperty AuditAdmin
Exibir informações sobre recipient audit folder
Exemplo:
Get-MailboxFolderStatistics Joao | ? {$_.Name -eq “Audits” -and $_.FolderType -eq “Audits”} | Format-Table Identity, ItemsInFolder, FolderSize -AutoSize
Exibir informações sobre todas mailboxes auditadas
Exemplo:
Get-Mailbox| where {$_.AuditEnabled –eq “$True”}
Exibir informações sobre configurações das mailboxes Auditadas
Exemplo:
Get-Mailbox Joao | fl *audit*
Visualizar logs de administração
Exemplo:
Get-AdminAuditLogConfig
4 – Exibir informações sobre mailbox e folder permissions
Exibir informações sobre logs de auditoria de uma mailbox – AuditDelegate especifica
Exemplo:
Get-mailboxfolder Joao -GetChildren | Get-MailboxFolderPermission | Where-Object {-not ($_.AccessRights -like ‘*None*’)
5 – Pesquisando por informações especificas nos logs de Audit
Exibir todas informações coletadas de uma mailbox especifica
Exemplo:
Search-MailboxAuditLog -Identity Joao -LogonTypes Admin,Delegate -ShowDetails
Exibir informações de Audit para atividades de “Send As”
Exemplo:
Search-MailboxAuditLog -Identity Joao -LogonTypes Admin,Delegate -ShowDetails | Where-Object {$_.Operation -eq “Sendas”} |select MailboxResolvedOwnerName, LastAccessed, Operation,OperationResult,LogonUserDisplayName,LogonType ,ItemSubject,FolderPathName,InternalLogonType,SourceItemSubjectsList,SourceItemFolderPathNamesList,ClientProcessName,ClientInfoString
Exibir informações de uma mailbox especifica por um range de datas
Exemplo:
Search-MailboxAuditLog -Identity Joao -LogonTypes Admin,Delegate -StartDate 12/20/2013 -EndDate 12/31/2013 -ResultSize 2000
Exibir informações de uma mailbox especifica por um range de datasve a atividade “HardDelete”
Exemplo:
Search-MailboxAuditLog -Identity Joao -LogonTypes Admin,Delegate -StartDate 12/31/2013 -EndDate 12/31/2013 -ResultSize 2000 | Where-Object {$_.Operation -eq “HardDelete”}
Exibir todas atividades de administrator audit logs
Exemplo:
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendsize, MaxReceiveSize -StartDate 12/20/2013 -EndDate 12/31/2013 -UserIds Joao, Jefferson
Exibir todas atividades de administrator audit logs – Usuários especifico
Exemplo:
search-AdminAuditLog –UserIds joao
6 – Configurações Gerais de Auditoria
Configure Outlook Web App para aceitar recebimento de anexos XML
$livecred = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $LiveCred -Authentication Basic –AllowRedirection
Set-ExecutionPolicy RemoteSigned -Force
Import-PSSession $Session
Connect-MsolService -Credential $livecred
4 – Será solicitado nome de usuário e senha, forneça as credenciais de um administrador Global do Office 365.
5 – Agora execute as linhas de comando abaixo no Power Shell, uma por vez:
1ª Get-OwaMailboxPolicy | Set-OwaMailboxPolicy -BlockedFileTypes @{Remove = “.rpmsg”, “.xlsx”, “.xlsm”, “.xlsb”, “.tiff”, “.pptx”, “.pptm”, “.ppsx”, “.ppsm”, “.jpeg”, “.docx”, “.docm”, “.zip”, “.xml”, “.xls”, “.png”, “.pdf”, “.jpg”, “.ppt”, “.doc”, “.xls”}
2ª Get-OwaMailboxPolicy | Set-OwaMailboxPolicy -AllowedFileTypes @{Add = “.rpmsg”, “.xlsx”, “.xlsm”, “.xlsb”, “.tiff”, “.pptx”, “.pptm”, “.ppsx”, “.ppsm”, “.jpeg”, “.docx”, “.docm”, “.zip”, “.xml”, “.xls”, “.png”, “.pdf”, “.jpg”, “.ppt”, “.doc”, “.xls”}
3ª Get-OwaMailboxPolicy | Set-OwaMailboxPolicy -BlockedMimeTypes @{Remove = “text/xml”, “application/xml”, “.rpmsg”, “.xlsx”, “.xlsm”, “.xlsb”, “.tiff”, “.pptx”, “.pptm”, “.ppsx”, “.ppsm”, “.jpeg”, “.docx”, “.docm”, “.zip”, “.xml”, “.xls”, “.png”, “.pdf”, “.jpg”, “.ppt”, “.doc”, “.xls”}
4ª Get-OwaMailboxPolicy | Set-OwaMailboxPolicy –AllowedMimeTypes @{Add = “text/xml”, “application/xml”, “.rpmsg”, “.xlsx”, “.xlsm”, “.xlsb”, “.tiff”, “.pptx”, “.pptm”, “.ppsx”, “.ppsm”, “.jpeg”, “.docx”, “.docm”, “.zip”, “.xml”, “.xls”, “.png”, “.pdf”, “.jpg”, “.ppt”, “.doc”, “.xls”}
Extensões: “.rpmsg”, “.xlsx”, “.xlsm”, “.xlsb”, “.tiff”, “.pptx”, “.pptm”, “.ppsx”, “.ppsm”, “.jpeg”, “.docx”, “.docm”, “.zip”, “.xml”, “.xls”, “.png”, “.pdf”, “.jpg”, “.ppt”, “.doc”, “.xls”
Get-OwaMailboxPolicy | Select AllowedFileTypes –ExpandProperty AllowedFileTypes
Get-OwaMailboxPolicy | Select AllowedMimeTypes –ExpandProperty AllowedMimeTypes
Pronto, agora o OWA irá liberar o arquivo XML e as demais extensões listas no cmdlet anteriormente Bloqueado.
Configurar o range de auditoria (Em dias)
Exemplo:
Set-Mailbox Joao -AuditLogAgeLimit 30
Habilitando ByPass para uma mailbox
Exemplo:
Set-MailboxAuditBypassAssociation Joao -AuditBypassEnabled $True
mailbox Auditing: Export informações de auditoria ára um XML + envia o resultado por email
Exemplo:
New-MailboxAuditLogSearch -Name “Audit information for all mailboxes” -LogonTypes Admin,Delegate -StartDate 12/24/2013 -EndDate 12/31/2013 –StatusMailRecipients jcosta@msinfra.net
Administrator Auditing: Export informações de auditoria ára um XML + envia o resultado por email
Exemplo:
New-AdminAuditLogSearch -Name “Audit information for all mailboxes” -StartDate 12/31/2013 -EndDate 12/31/2013 -StatusMailRecipients jcosta@msinfra.net
Obrigado, FELIZ 2014!!
Até o próximo post,
João Paulo Costa