Geavanceerde audit instellen in Microsoft 365

  • Artikel
  • 2 minuten om te lezen

Als uw organisatie een abonnements- en eindgebruikerslicentie heeft die Geavanceerde controle ondersteunt, voert u de volgende stappen uit om de extra mogelijkheden in Advanced Audit in te stellen en te gebruiken.

Werkstroom voor het instellen van Geavanceerde audit.

Stap 1: Geavanceerde controle instellen voor gebruikers

Geavanceerde auditfuncties, zoals de mogelijkheid om belangrijke gebeurtenissen, zoals MailItemsAccessed en Verzenden, bij te houden, vereisen een geschikte E5-licentie die aan gebruikers is toegewezen. Daarnaast moet het advanced auditing app/service plan zijn ingeschakeld voor deze gebruikers. Als u wilt controleren of de app Geavanceerd controleren is toegewezen aan gebruikers, voert u de volgende stappen voor elke gebruiker uit:

  1. Ga in Microsoft 365-beheercentrum naar Gebruikers Actieve > gebruikersen selecteer een gebruiker.

  2. Klik op de flyoutpagina met gebruikerseigenschappen op Licenties en apps.

  3. Controleer in de sectie Licenties of aan de gebruiker een E5-licentie is toegewezen of dat aan de gebruiker een geschikte invoeglicentie is toegewezen. Zie Licentievereisten voor geavanceerde audit voor een lijst met licenties die Geavanceerde controle ondersteunen.

  4. Vouw de sectie Apps uit en controleer of Microsoft 365 selectievakje Geavanceerd controleren is ingeschakeld.

  5. Als het selectievakje niet is geselecteerd, selecteert u het selectievakje en klikt u op Wijzigingen opslaan.

    De logboekregistratie van auditrecords voor MailItemsAccessed en Verzenden begint binnen 24 uur. U moet stap 3 uitvoeren om te beginnen met het registreren van twee andere geavanceerde auditgebeurtenissen: SearchQueryInitiatedExchange en SearchQueryInitiatedSharePoint.

Voor organisaties die licenties toewijzen aan groepen gebruikers met behulp van groepslicenties, moet u de licentietoewijzing voor Microsoft 365 Advanced Auditing voor de groep uitschakelen. Nadat u de wijzigingen hebt op slaan, controleert u of Microsoft 365 geavanceerde controle is uitgeschakeld voor de groep. Schakel vervolgens de licentietoewijzing voor de groep weer in. Zie Licenties toewijzen aan gebruikers op basis van groepslidmaatschap in Azure Active Directory voor instructies over groepslicenties.

Als u de postvakacties hebt aangepast die zijn aangemeld bij gebruikerspostvakken of gedeelde postvakken, worden nieuwe geavanceerde auditgebeurtenissen die door Microsoft zijn uitgebracht, niet automatisch gecontroleerd op die postvakken. Zie de sectie 'Postvakacties standaard wijzigen of herstellen' in Postvakcontrole beheren voor informatie over het wijzigen van de postvakacties die worden gecontroleerd voor elk aanmeldingstype.

Stap 2: Geavanceerde auditgebeurtenissen inschakelen

U moet twee geavanceerde auditgebeurtenissen (SearchQueryInitiatedExchange en SearchQueryInitiatedSharePoint) inschakelen om te worden geregistreerd wanneer gebruikers zoekopdrachten uitvoeren in Exchange Online en SharePoint Online. Als u wilt dat deze twee gebeurtenissen worden gecontroleerd voor gebruikers, moet u de volgende opdracht (voor elke gebruiker) uitvoeren in Exchange Online PowerShell:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

In een multi-geoomgeving moet u de vorige opdracht Postvak instellen uitvoeren in het bos waar het postvak van de gebruiker zich bevindt. Voer de volgende opdracht uit om de postvaklocatie van de gebruiker te identificeren:

Get-Mailbox <user identity> | FL MailboxLocations

Als de opdracht voor het inschakelen van het controleren van zoekquery's eerder is uitgevoerd in een forest dat anders is dan het postvak van de gebruiker, moet u de waarde SearchQueryInitiated verwijderen uit het postvak van de gebruiker door deze uit te voeren en vervolgens toe te voegen aan het postvak van de gebruiker in het forest waar het postvak van de gebruiker Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} zich bevindt.

Stap 3: Beleid voor controlebewaring instellen

Naast het standaardbeleid dat Exchange-, SharePoint- en Azure AD-auditrecords gedurende één jaar bewaart, kunt u aanvullend bewaarbeleid voor auditlogboeken maken om te voldoen aan de vereisten van de beveiligingsactiviteiten, IT- en complianceteams van uw organisatie. Zie voor meer informatie Bewaarbeleid voor auditlogboeken beheren.

Stap 4: Zoeken naar geavanceerde auditgebeurtenissen

Nu u geavanceerde controle hebt ingesteld voor uw organisatie, kunt u zoeken naar belangrijke geavanceerde auditgebeurtenissen en andere activiteiten bij het uitvoeren van gerechtelijke onderzoeken. Nadat u stap 1 en stap 2 hebt uitgevoerd, kunt u in het auditlogboek zoeken naar geavanceerde auditgebeurtenissen en andere activiteiten tijdens gerechtelijke onderzoeken naar gecompromitteerde accounts en andere soorten beveiligings- of complianceonderzoeken. Zie Geavanceerde controle gebruiken om gecompromitteerde accounts te onderzoeken voor meer informatie over het uitvoeren van een onderzoek naar gecompromitteerde gebruikersaccountsmet de gebeurtenis MailItemsAccessed Advanced Audit.