Microsoft 365 Auditlogs [CHK-1002]

Reden

Het Microsoft 365 auditlog wordt gebruikt om gebruikers- en beheerdersactiviteit in Microsoft 365 op te slaan voor onderzoeksdoeleinden. Logs blijven 90 dagen bewaard en kunnen worden gebruikt in geval van beveiligingsincidenten en/of voor forensische doeleinden. Daarnaast kunnen specifieke alarmen worden ingesteld met behulp van Sentinel om verdacht gedrag direct te herkennen.

Fix

Een geautomatiseerde fix is beschikbaar via Attic.

Handmatige stappen:

1. Meld je aan bij de Microsoft Purview portal.

2. Selecteer de Audit oplossingkaart. Als de Audit oplossingkaart niet wordt weergegeven, selecteer Alle oplossingen en selecteer Audit in de Core sectie.

3. Als het audit niet is ingeschakeld voor uw organisatie, wordt een banner weergegeven waarin u wordt gevraagd om de gebruiker- en beheerdersactiviteiten te starten.

4. Selecteer de Start gebruiker en beheerdersactiviteiten banner.

Impact

Deze controle heeft twee mogelijke uitkomsten:

• Okay: Admin Audit logging EN Unified Audit logging zijn beide ingeschakeld

• Error: Admin Audit logging OF Unified Audit logging is uitgeschakeld

Als de output Error is, adviseren we om zowel admin audit log als unified audit log in te schakelen.

Meer informatie

Deze maatregel is in lijn met het volgende item uit de Center for Internet Security (CIS) Microsoft 365 Foundations Benchmark:

• CIS M365 5.1 - (L1) Ensure Microsoft 365 audit log search is Enabled