OneDrive Businessの動きが監査ログでどう見えるのか見てみた。
前回は以下
今回はタイトル通り監査ログを見てみた。
監査ログ取得を開始
「MS365コンプライアンス」-「監査」-「ユーザと管理者のアクティビティを開始する」をクリック
適当にいじってみる。
フォルダ、ファイル作成、名前変更、削除の監査ログ
フォルダ共有(リンクを知っているすべてのユーザ)
条件で設定
監査ログとしては以下、これは「匿名リンク」と呼ばれることがわかった。
同一テナントのユーザでアクセスした場合
ユーザ名にどのユーザがアクセスしたのかがわかる。
MS365にログインしていない状態でアクセス
初回アクセス時には「anonymous」と表示されるが、その後ファイルを開いても誰がやっているのかわからない。
別のMS365にログインしているユーザでアクセス
ユーザ名が「(招待メールアドレス)#ext#@(テナントドメイン名)」の表記で表示されていた。
ダウンロードの時はどういうものが出るのか。
同一ドメインユーザでダウンロード
MS365にログインしていない状態でダウンロード
別テナントにログインした状態でダウンロード
「リンクを知っているテナント内のユーザー」リンク
共有条件は以下
監査ログ上は以下
「会社の共有可能なリンク」という表記であることを確認
テナント内のユーザでアクセス 編集、ダウンロード
MS365にログインしていない状態でアクセス
別テナントの365にログインしているユーザでアクセス
「特定ユーザー」リンク
設定は以下
監査ログとしては以下
「セキュリティで保護されたリンク」であることを確認
テナント内のユーザでアクセス 編集、ダウンロード
ログインしていないユーザ
アクセス時に以下が出る。監査ログ上は何もでない。
20:43 他テナント
正しくログインすると
以下のメールが届く
ユーザ名も表示され誰が操作しているのかがわかった。
まとめ
OneDriveは以下のアクティビティで把握する
●共有フォルダの作成
匿名リンクの作成
会社共有可能なリンク
セキュリティで保護されたリンク
●アクセスの確認
匿名リンクの使用
会社共有可能なリンクの使用
セキュリティで保護されたリンクの使用
●ダウンロード
ファイルのダウンロード
その他 OneDrive関連の記事は以下