Exchange Online – Coletando e lendo logs de Auditoria para Full Mailbox Permission

  • Article

By: Caio Ribeiro César, Fabio Baleizão e João Domingues

Este post faz referência ao artigo “Search-UnifiedAuditLog”.

Ao coletar dados de auditoria utilizando o Search-UnifiedAuditlog, ou até o portal de gerência do Security & Compliance Center (SCC), alguns administradores se perguntam como é feita a leitura do log.

No exemplo abaixo, temos as informações necessárias para entender –

1) Quem efetuou o comando Remove-MailboxPermission;

2) Para qual Mailbox este comando foi executado;

3) Qual delegate esta permissão foi removida.

Será que você consegue identificar os 3?

Para ficar mais fácil, vamos ver o mesmo resultado no PowerShell para outro comando (Add-MailboxPermission):

 Search-UnifiedAuditLog -RecordType ExchangeAdmin -StartDate 7/19/2018 -EndDate 7/20/2018 -Operations "Add-MailboxPermission" | fl

RunspaceId   : bed7251c-2c12-461b-8254-9d833aff33b7

RecordType   : ExchangeAdmin

CreationDate : 7/19/2018 9:24:53 AM

UserIds      : Admin@tplisbon202202.onmicrosoft.com

Operations   : Add-MailboxPermission

AuditData    : {"CreationTime":"2018-07-19T09:24:53","Id":"185dd1ef-7a09-451d-7733-08d5ed597bf5","Operation":"Add-MailboxPermission","OrganizationId":"3880fe49-d569-49f4-8a2c-112282572473","RecordType":1,"ResultStatus":"Tru           e","UserKey":"10033FFFA233BA3C","UserType":2,"Version":1,"Workload":"Exchange","ClientIP":"193.126.243.78:24225","ObjectId":"Teste,"UserId":"Admin@tplisbon202202.onmicrosoft.com","ExternalAccess":false,"OrganizationName":"tplisbon202202.onmicrosoft.com","OriginatingServer":"VI1PR0801MB1632 (15.20.0973.010)","Parameters":[{"Name":"Identity","Value":"Teste1"},{"Name":"User","Value":"EURPR08A005\\clou55083"},{"Name":"AccessRights","Value":"FullAccess"},{"Name":"InheritanceType","Value":"All"}],"SessionId":""}

ResultIndex  : 2

ResultCount  : 2

Identity     : 185dd1ef-7a09-451d-7733-08d5ed597bf5

IsValid      : True

ObjectState  : Unchanged

 

Quem executou o comando? Este objeto está identificado no valor “UserID” - Admin@tplisbon202202.onmicrosoft.com

Qual a mailbox em questão (mailbox que o add-mailboxpermission foi executado)? Este objeto está identificado no valor “ObjectID” – teste

Qual delegate esta permissão foi concedida? Este objeto está identificado no valor “User” - EURPR08A005\\clou55083

EURPR08A005\\clou55083” é o sAMAccountName do usuário que a permissão de FullAccess foi concedida. Para que o Administrador possa validar qual seria o objeto, basta executar o comando Get-User.

 Get-User "clou55083”