In questo articolo vedremo come configurare Azure Sentinel per collezionare dati da Office 365, al fine di poter sapere quello che succede all’interno della nostra cloud platform, sia per monitoraggio interno ma anche per ottemperare alcune normative come il GDPR, che prevede il fatto che venga fatta una tracciatura delle attività inerenti i documenti contenti informazioni sensibili.
Per chi non sapesse ancora cos’è Azure Sentinel, e come si configura, vi rimando al seguente articolo.
Configurazione Soluzione
Selezionate la configurazione di Office 365 – figura 1.
I requisiti necessari per attivare il connettore sono i seguenti:
- Aver attivata la Solution Office 365 all’interno di Log Analytics
- Aver attivato l’auditing di Office 365
- Avere un account con i privilegi di Global Admin
A differenza di quanto accadeva in Log Analytics, adesso è possibile aggiungere più tenant Office 365 e questo è molto utile per tutte quelle aziende che, per un motivo o per un altro, si ritrovano con più tenant che non possono smantellare.
Cliccando sul pulsante Add Tenant – figura 2 – comparirà una finestra con la richiesta delle credenziali del Global Admin e la conferma di voler attivare il trasferimento dei dati relativi al logging – figura 3.
All’interno della sezione Stream Office 365 Data Analytics selezionate sia la parte relativa a SharePoint che quella di Exchange; questo vi permetterà di avere i log di entrambe le piattaforme.
L’ultimo passaggio, opzionale, è quello di attivare le dashboard – figura 4 e 5. Queste vi danno la possibilità di visualizzare lo stato delle attività dei vostri utenti, ma non solo, in modo facile e veloce. Essendo già confezionate, è caldamente suggerito attivarle.
Una volta aggiunta la dashboard, e passato un po’ di tempo per la raccolta dei dati, sarà possibile visualizzare i risultati proprio all’interno delle varie dashboard – figura 6.
Per chi si volesse cimentare con qualcosa di più avanzato, è possibile utilizzare direttamente le query manuali, dove si possono costruire ricerche più dettagliate, come ad esempio quanti documenti ha cancellato uno specifico utente:
OfficeActivity | where EventSource == "SharePoint" and Operation == "FileDeleted" | summarize AggregatedValue = count() by UserId
Conclusioni
In pochi passaggi abbiamo collegato Office 365 ad Azure Sentinel, andando a salvare tutti i log prodotti dalla piattaforma, mettendo la nostra infrastruttura in sicurezza sotto il punto di vista del controllo operativo.
Il monitoring di Office 365 è gratuito per tutte le aziende che hanno già acquistato una sottoscrizione e questo è un motivo in più per implementarlo subito all’interno della vostra infrastruttura. Questa cosa rimarrà invariata anche quando Azure Sentinel uscirà dalla fase di Preview e di conseguenza avrà un pricing definito.