Использование аудита общего доступа в журнале аудита

Общий доступ является ключевым действием в SharePoint Online и OneDrive для бизнеса и широко используется в организациях. Администраторы могут использовать аудит общего доступа в журнале аудита, чтобы определить, как общий доступ используется в их организации.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Схема общего доступа к SharePoint

События общего доступа (не включая события, связанные с политикой общего доступа и ссылками общего доступа) отличаются от событий, связанных с файлами и папками, одним основным способом: один пользователь выполняет действие, которое влияет на другого пользователя. Например, когда ресурс User A предоставляет пользователю B доступ к файлу. В этом примере пользователь А — это действующий пользователь , а пользователь Б —целевой пользователь. В схеме файла SharePoint действие действующего пользователя влияет только на сам файл. Когда пользователь A открывает файл, единственными сведениями, необходимыми для события FileAccessed , является действующий пользователь. Чтобы устранить это различие, существует отдельная схема, называемая схемой общего доступа SharePoint , которая собирает дополнительные сведения о событиях общего доступа. Это гарантирует, что администраторы будут видеть, кто предоставил общий доступ к ресурсу и пользователя, которому был предоставлен общий доступ.

Схема общего доступа предоставляет два дополнительных поля в записи аудита, связанной с событиями общего доступа:

• TargetUserOrGroupType: Определяет, является ли целевой пользователь или группа участником, гостью, SharePointGroup, группой безопасности или партнером.
• TargetUserOrGroupName: Сохраняет имя участника-пользователя или имя целевого пользователя или группы, которым был предоставлен общий доступ к ресурсу (пользователь B в предыдущем примере).

Эти два поля в дополнение к другим свойствам из схемы журнала аудита, таким как User, Operation и Date, могут рассказать полную историю о том, какой пользователь предоставил кому и когда общий доступ к ресурсу.

Существует еще одно свойство схемы, важное для истории общего доступа. При экспорте результатов поиска в журнале аудита в столбце AuditData в экспортируемом CSV-файле хранятся сведения о событиях общего доступа. Например, когда пользователь предоставляет общий доступ к сайту другому пользователю, это достигается путем добавления целевого пользователя в группу SharePoint. В столбце AuditData эти сведения записываются для предоставления контекста администраторам. Инструкции по анализу данных в столбце AuditData см. в разделе Шаг 2.

События общего доступа к SharePoint

Общий доступ определяется тем, когда пользователь ( действующий пользователь) хочет предоставить доступ к ресурсу другому пользователю ( целевому пользователю). Записи аудита, связанные с предоставлением доступа к ресурсу внешнему пользователю (пользователю, который находится за пределами вашей организации и не имеет гостевой учетной записи в Microsoft Entra ID вашей организации), определяются следующими событиями, которые регистрируются в журнале аудита:

• SharingInvitationCreated: Пользователь в вашей организации пытался предоставить доступ к ресурсу (скорее всего, сайту) с внешним пользователем. В результате целевому пользователю будет отправлено внешнее приглашение для общего доступа. На этом этапе доступ к ресурсу не предоставляется.
• SharingInvitationAccepted: Внешний пользователь принял приглашение общего доступа, отправленное действующим пользователем, и теперь имеет доступ к ресурсу.
• AnonymousLinkCreated: Для ресурса создается анонимная ссылка (также называемая ссылкой "Любой пользователь"). Так как анонимную ссылку можно создать, а затем скопировать, разумно предположить, что любой документ с анонимной ссылкой был предоставлен целевому пользователю.
• AnonymousLinkUsed: Как следует из названия, это событие регистрируется, когда для доступа к ресурсу используется анонимная ссылка.
• SecureLinkCreated: Пользователь создал "ссылку на определенных людей", чтобы предоставить доступ к ресурсу определенному пользователю. Этот целевой пользователь может быть внешним пользователем вашей организации. Пользователь, которому предоставлен общий доступ к ресурсу, определяется в записи аудита для события AddedToSecureLink . Метки времени для этих двух событий практически идентичны.
• AddedToSecureLink: Пользователь был добавлен в определенную ссылку на людей. Используйте поле TargetUserOrGroupName в этом событии, чтобы идентифицировать пользователя, добавленного в соответствующую ссылку на конкретных пользователей. Этот целевой пользователь может быть внешним пользователем вашей организации.

Общий доступ к рабочему потоку аудита

Когда пользователь (действующий пользователь) хочет предоставить доступ к ресурсу другому пользователю (целевому пользователю), SharePoint (или OneDrive для бизнеса) сначала проверяет, связан ли адрес электронной почты целевого пользователя с учетной записью пользователя в каталоге организации. Если целевой пользователь находится в каталоге (и имеет соответствующую учетную запись гостевого пользователя), SharePoint выполняет следующие действия:

• Немедленно назначает целевому пользователю разрешения на доступ к ресурсу, добавляя целевого пользователя в соответствующую группу SharePoint, и регистрирует событие AddedToGroup .
• Отправляет уведомление о совместном доступе на адрес электронной почты целевого пользователя.
• Регистрирует событие SharingSet . Это событие имеет понятное имя "Общий файл, папка или сайт" в разделе Действия общего доступа и запроса доступа в средстве выбора действий средства поиска по журналам аудита. См. снимок экрана в шаге 1.

Если учетная запись пользователя для целевого пользователя отсутствует в каталоге, SharePoint выполняет следующие действия:

• Регистрирует одно из следующих событий в зависимости от того, как предоставляется общий доступ к ресурсу:

  • AnonymousLinkCreated
  • SecureLinkCreated
  • AddedToSecureLink
  • SharingInvitationCreated (это событие регистрируется только в том случае, если общий ресурс является сайтом)

• Когда целевой пользователь принимает отправленное ему приглашение общего доступа (щелкнув ссылку в приглашении), SharePoint регистрирует событие SharingInvitationAccepted и назначает целевому пользователю разрешения на доступ к ресурсу. Если целевому пользователю отправляется анонимная ссылка, событие AnonymousLinkUsed регистрируется после того, как целевой пользователь использует ссылку для доступа к ресурсу. Для безопасных ссылок событие FileAccessed регистрируется, когда внешний пользователь использует ссылку для доступа к ресурсу.

Также регистрируются дополнительные сведения о целевом пользователе, например удостоверение пользователя, которому выполняется приглашение, и пользователя, который принимает приглашение. В некоторых случаях эти пользователи (или адреса электронной почты) могут отличаться.

Определение ресурсов, к которым предоставлен доступ внешним пользователям

Распространенным требованием для администраторов является создание списка всех ресурсов, которыми предоставлен общий доступ пользователям за пределами организации. Используя общий доступ к аудиту в Office 365, администраторы могут создать этот список. Ниже приведено описание процедуры.

Шаг 1. Поиск для совместного использования событий и экспорта результатов в CSV-файл

Первым шагом является поиск событий общего доступа в журнале аудита. Дополнительные сведения (включая необходимые разрешения) о поиске в журнале аудита см. в разделе Поиск журнала аудита.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

Выполните следующие действия, чтобы найти события общего доступа:

1. Войдите на портал Microsoft Purview.

2. Выберите карта решение аудит. Если карта Решение аудита не отображается, выберите Просмотреть все решения, а затем выберите Аудит в разделе Основные.

3. На странице Поиск и в разделе Действия — понятные имена выберите Действия общего доступа и запросы доступа, чтобы найти события, связанные с общим доступом.

4. Выберите диапазон даты и времени, чтобы найти события общего доступа, произошедшие в течение этого периода.

5. Выберите Поиск , чтобы выполнить поиск.

6. После завершения поиска и отображения результатов выберите Экспорт> результатовСкачать все результаты.

   После выбора параметра экспорта в нижней части окна появится сообщение с предложением открыть или сохранить CSV-файл.

7. Выберите Сохранить>как и сохраните CSV-файл в папку на локальном компьютере.

Портал соответствия требованиям

Выполните следующие действия, чтобы найти события общего доступа:

1. Войдите на портал Microsoft Purview.

2. В левой области Портал соответствия требованиям Microsoft Purview выберите Аудит.

3. На странице Аудит и в разделе Действия выберите Действия общего доступа и запроса доступа , чтобы найти события, связанные с общим доступом.

   

4. Выберите диапазон даты и времени, чтобы найти события общего доступа, произошедшие в течение этого периода.

5. Выберите Поиск , чтобы выполнить поиск.

6. Когда поиск завершится и результаты отобразятся, выберите Экспорт результатов>Скачать все результаты.

   После выбора параметра экспорта в нижней части окна появится сообщение с предложением открыть или сохранить CSV-файл.

7. Выберите Сохранить>как и сохраните CSV-файл в папку на локальном компьютере.

Шаг 2. Форматирование экспортированного журнала аудита с помощью Редактор PowerQuery

Следующим шагом является использование функции преобразования JSON в Редактор Power Query в Excel для разделения каждого свойства в столбце AuditData (который состоит из объекта JSON с несколькими свойствами) на собственный столбец. Это позволяет фильтровать столбцы для просмотра записей, связанных с общим доступом.

Пошаговые инструкции см. в пункте "Этап 2. Форматирование экспортированного журнала аудита с помощью редактора Power Query" в разделе Экспорт, настройка и просмотр записей журнала аудита.

Шаг 3. Фильтрация CSV-файла для ресурсов, к которым предоставлен доступ внешним пользователям

Следующим шагом является фильтрация CSV-файла по различным событиям, связанным с общим доступом, которые ранее были описаны в разделе События общего доступа SharePoint . Кроме того, можно отфильтровать столбец TargetUserOrGroupType , чтобы отобразить все записи, в которых это свойство имеет значение Guest.

После выполнения инструкций на предыдущем шаге по подготовке CSV-файла с помощью редактора PowerQuery выполните следующие действия.

1. Откройте файл Excel, созданный на шаге 2.

2. На вкладке Главная выберите Сортировка & Фильтр, а затем — Фильтр.

3. В раскрывающемся списке Фильтр & сортировки в столбце Операции снимите все выбранные значения, выберите одно или несколько следующих событий, связанных с общим доступом, а затем нажмите кнопку ОК.

   • SharingInvitationCreated
   • AnonymousLinkCreated
   • SecureLinkCreated
   • AddedToSecureLink

   Excel отображает строки для выбранных событий.

4. Перейдите к столбцу TargetUserOrGroupType и выберите его.

5. В раскрывающемся списке Сортировка & фильтр очистите все выбранные элементы, а затем выберите TargetUserOrGroupType:Guest и нажмите кнопку ОК.

   Теперь Excel отображает строки для совместного использования событий И, где целевой пользователь находится за пределами вашей организации, так как внешние пользователи идентифицируются по значению TargetUserOrGroupType:Guest.

Совет

Для отображаемых записей аудита столбец ObjectId определяет ресурс, к которому был предоставлен общий доступ целевому пользователю; например ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx.