Quantcast
Channel: Exchange Online – MSinfra
Viewing all articles
Browse latest Browse all 19

Office 365: Mailbox Audit através do PowerShell

0
0

audit-referencement

A opção de Auditoria é um recurso muito útil que nos permite obter informações detalhadas sobre todas as operações e as atividades relacionadas as mailboxes. De modo geral, há vários tipos de auditoria. Neste artigo, eu gostaria de focar no tipo de auditoria descrito como: “Acesso à mailbox não-proprietário” (Non-Owner Mailbox Access). Esta opção permite-nos obter informações detalhadas sobre: quem fez o quê e quando, em relacão a uma mailbox específica.

A Mailbox Audit incluem três níveis:

• AuditOwner – informações sobre as operações/atividades realizadas pelo proprietário com a caixa de correio. Esta opção de auditoria não é suportado no Exchange Online (Office 365), no momento atual.

• AuditAdmin – informações sobre as operações/atividades realizadas pelo administrador para uma caixa de correio específica.

• AuditDelegate – informações sobre as operações/atividades realizadas por outros destinatários (delegado) para uma caixa de correio específica.

A auditoria de acesso à caixa postal não-proprietário não está habilitado por padrão. Significa que, caso, seja necessário usar está opção de auditoria, teremos de “ligar”. A opção de caixa de correio de auditoria é apropriado para um cenário como: Um ou mais usuários se queixam de que um e-mail é sumiu de sua caixa de correio, e ele não tem idéia de como isso aconteceu. Outro cenário apropriado pode ser quando há suspeitas que o “alguém” tentou o acesso não autorizado à caixa de correio de um outro usuário, e assim por diante

1  – Habilitar/Desabilitar o Mailbox Audit ( Non-Owner Mailbox Access Report )

Habilitar Mailbox Audit (Non-Owner Mailbox Access Report) para uma mailbox especifica

Exemplo:

Set-Mailbox Joao -AuditEnabled $True

Habilitar Mailbox Audit (Non-Owner Mailbox Access Report) para todas as mailboxes do Office 365 (Bulk mode)

Exemplo:

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq ‘UserMailbox’)} $UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $True}

Desabilitar Mailbox Audit (Non-Owner Mailbox Access Report) para uma mailbox especifica

Exemplo:

Set-Mailbox Joao -AuditEnabled $False

Desabilitar Mailbox Audit (Non-Owner Mailbox Access Report) para todas as mailboxes do Office 365 (Bulk mode)

Exemplo:

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq ‘UserMailbox’)} $UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $False}

2 – Definir o tipo de Mailbox Audit + Non default Audit operations

Definir Mailbox Audit – AuditAdmin

Exemplo:

Set-Mailbox Joao -AuditAdmin Create,FolderBind,SendAs,SendOnBehalf,SoftDelete,HardDelete,Update,Move,MoveToDeletedItems

Definir Mailbox Audit – AuditDelegate

Exemplo:

Set-Mailbox Joao -AuditDelegate Create,FolderBind,SendAs,SendOnBehalf,SoftDelete,HardDelete,Update,Move,MoveToDeletedItems

Habilitar Audit + Definir Mailbox Audit para AuditAdmin e AuditDelegate

Exemplo:

Set-mailbox Joao -AuditEnabled $True -AuditDelegate Create,FolderBind,SendAs,SendOnBehalf,SoftDelete,HardDelete,Update,Move,MoveToDeletedItems -AuditAdmin Create,FolderBind,SendAs,SendOnBehalf,SoftDelete,HardDelete,Update,Move,MoveToDeletedItems

3 – Exibir informações sobre configurações de Auditoria

Exibir informações sobre logs de auditoria de uma mailbox especifica – AuditDelegate

Exemplo:

Get-Mailbox Joao | Select-Object –ExpandProperty AuditDelegate

Exibir informações sobre logs de auditoria de uma mailbox especifica – AuditAdmin

Exemplo:

Get-Mailbox Joao | Select-Object –ExpandProperty AuditAdmin

Exibir informações sobre recipient audit folder

Exemplo:

Get-MailboxFolderStatistics Joao | ? {$_.Name -eq “Audits” -and $_.FolderType -eq “Audits”} | Format-Table Identity, ItemsInFolder, FolderSize -AutoSize

Exibir informações sobre todas mailboxes auditadas

Exemplo:

Get-Mailbox| where {$_.AuditEnabled –eq “$True”}

Exibir informações sobre configurações das mailboxes Auditadas
Exemplo:

Get-Mailbox Joao | fl *audit*

Visualizar logs de administração

Exemplo:

Get-AdminAuditLogConfig

4 – Exibir informações sobre mailbox e folder permissions

Exibir informações sobre logs de auditoria de uma mailbox – AuditDelegate especifica

Exemplo:

Get-mailboxfolder Joao -GetChildren | Get-MailboxFolderPermission | Where-Object {-not ($_.AccessRights -like ‘*None*’)

5 – Pesquisando por informações especificas nos logs de Audit

Exibir todas informações coletadas de uma mailbox especifica
Exemplo:

Search-MailboxAuditLog -Identity Joao -LogonTypes Admin,Delegate -ShowDetails

Exibir informações de Audit para atividades de “Send As”
Exemplo:

Search-MailboxAuditLog -Identity Joao -LogonTypes Admin,Delegate -ShowDetails | Where-Object {$_.Operation -eq “Sendas”} |select MailboxResolvedOwnerName, LastAccessed, Operation,OperationResult,LogonUserDisplayName,LogonType ,ItemSubject,FolderPathName,InternalLogonType,SourceItemSubjectsList,SourceItemFolderPathNamesList,ClientProcessName,ClientInfoString

Exibir informações de uma mailbox especifica por um range de datas

Exemplo:

Search-MailboxAuditLog -Identity Joao -LogonTypes Admin,Delegate -StartDate 12/20/2013 -EndDate 12/31/2013 -ResultSize 2000

Exibir informações de uma mailbox especifica por um range de datasve a atividade “HardDelete”
Exemplo:

Search-MailboxAuditLog -Identity Joao -LogonTypes Admin,Delegate -StartDate 12/31/2013 -EndDate 12/31/2013 -ResultSize 2000  | Where-Object {$_.Operation -eq “HardDelete”}

Exibir todas atividades de administrator audit logs
Exemplo:

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendsize, MaxReceiveSize -StartDate 12/20/2013 -EndDate 12/31/2013 -UserIds Joao, Jefferson

Exibir todas atividades de administrator audit logs – Usuários especifico
Exemplo:

search-AdminAuditLog –UserIds joao

6 – Configurações Gerais de Auditoria

Configure Outlook Web App para aceitar recebimento de anexos XML

$livecred = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $LiveCred -Authentication Basic –AllowRedirection

Set-ExecutionPolicy RemoteSigned -Force

Import-PSSession $Session

Connect-MsolService -Credential $livecred

4 – Será solicitado nome de usuário e senha, forneça as credenciais de um administrador Global do Office 365.

5 – Agora execute as linhas de comando abaixo no Power Shell, uma por vez:

1ª   Get-OwaMailboxPolicy | Set-OwaMailboxPolicy -BlockedFileTypes @{Remove = “.rpmsg”, “.xlsx”, “.xlsm”, “.xlsb”, “.tiff”, “.pptx”, “.pptm”, “.ppsx”, “.ppsm”, “.jpeg”, “.docx”, “.docm”, “.zip”, “.xml”, “.xls”, “.png”, “.pdf”, “.jpg”, “.ppt”, “.doc”, “.xls”}

2ª   Get-OwaMailboxPolicy | Set-OwaMailboxPolicy -AllowedFileTypes @{Add = “.rpmsg”, “.xlsx”, “.xlsm”, “.xlsb”, “.tiff”, “.pptx”, “.pptm”, “.ppsx”, “.ppsm”, “.jpeg”, “.docx”, “.docm”, “.zip”, “.xml”, “.xls”, “.png”, “.pdf”, “.jpg”, “.ppt”, “.doc”, “.xls”}

3ª  Get-OwaMailboxPolicy | Set-OwaMailboxPolicy -BlockedMimeTypes @{Remove = “text/xml”, “application/xml”, “.rpmsg”, “.xlsx”, “.xlsm”, “.xlsb”, “.tiff”, “.pptx”, “.pptm”, “.ppsx”, “.ppsm”, “.jpeg”, “.docx”, “.docm”, “.zip”, “.xml”, “.xls”, “.png”, “.pdf”, “.jpg”, “.ppt”, “.doc”, “.xls”}

4ª  Get-OwaMailboxPolicy | Set-OwaMailboxPolicy –AllowedMimeTypes @{Add = “text/xml”, “application/xml”, “.rpmsg”, “.xlsx”, “.xlsm”, “.xlsb”, “.tiff”, “.pptx”, “.pptm”, “.ppsx”, “.ppsm”, “.jpeg”, “.docx”, “.docm”, “.zip”, “.xml”, “.xls”, “.png”, “.pdf”, “.jpg”, “.ppt”, “.doc”, “.xls”}

Extensões: “.rpmsg”, “.xlsx”, “.xlsm”, “.xlsb”, “.tiff”, “.pptx”, “.pptm”, “.ppsx”, “.ppsm”, “.jpeg”, “.docx”, “.docm”, “.zip”, “.xml”, “.xls”, “.png”, “.pdf”, “.jpg”, “.ppt”, “.doc”, “.xls”

Get-OwaMailboxPolicy | Select AllowedFileTypes –ExpandProperty AllowedFileTypes
Get-OwaMailboxPolicy | Select AllowedMimeTypes –ExpandProperty AllowedMimeTypes

Pronto, agora o OWA irá liberar o arquivo XML e as demais extensões listas no cmdlet anteriormente Bloqueado.

Configurar o range de auditoria (Em dias)

Exemplo:

Set-Mailbox Joao -AuditLogAgeLimit 30

Habilitando ByPass para uma mailbox

Exemplo:

Set-MailboxAuditBypassAssociation Joao -AuditBypassEnabled $True

mailbox Auditing: Export informações de auditoria ára um XML + envia o resultado por email

Exemplo:

New-MailboxAuditLogSearch -Name “Audit information for all mailboxes” -LogonTypes Admin,Delegate -StartDate 12/24/2013 -EndDate 12/31/2013 –StatusMailRecipients jcosta@msinfra.net

Administrator Auditing: Export informações de auditoria ára um XML + envia o resultado por email

Exemplo:

New-AdminAuditLogSearch -Name “Audit information for all mailboxes” -StartDate 12/31/2013 -EndDate 12/31/2013 -StatusMailRecipients jcosta@msinfra.net

Obrigado, FELIZ 2014!!

Até o próximo post,

João Paulo Costa

Ass_Blog_thumb1_thumb1



Viewing all articles
Browse latest Browse all 19

Latest Images

Trending Articles





Latest Images