Microsoft 365 Kullanıcılarının Oturum Açma Etkinliklerinin Raporu

62
Microsoft 365 Kullanıcılarının Oturum Açma Etkinliklerinin Raporu

 

Güvenlik, dijitalleşen iş dünyasının önemli ve riskli konularından biridir. Bilgi güvenliği, bilginin bütünlüğünün, güvenliğinin ve gizliliğinin korunması olarak tanımlanır. Kurumsal firmalar sahip oldukları bilgileri derler, işler, kullanır, raporlar, izler ve buna benzer birçok noktada da bilgi güvenliğine önem vermektedir. Microsoft güvenliğin önem kazandığı, siber güvenlik tehditlerine karşı güvenlik ve uyumluluk çözümlerini kullanıcılara sunar. GDPR gibi yönetmeliklerin getirdiği bilgi koruma ihtiyaçlarına karşı günden güne gelişen birçok güvenlik çözümü geliştirmiştir.

Microsoft 365 hizmetleri Azure Active Directory kimlik yönetimi temeli üzerinde çalışır. Kullanıcılar Microsoft 365 hizmetlerinde oturum açarken arka planda Azure Active Directory üzerinde authentication işlemi gerçekleşir. Firmalar bu noktada kimi zaman lokal Active Directory’e de yönlendirmeler yapabilmektedir. Bilindiği üzere oturum açmak hizmetlere erişimi sağlar ve saldırı modellerinde de oturum açma birçok saldırganın kullandığı yöntemdir. Microsoft, kullanıcıların oturum açma saldırıları ile ilgili birçok çözüm sunar. Bunun yanı sıra kullanıcıların oturum açma etkinliklerinin izlenmesi, olası güvenlik ihlallerine karşı şüpheli davranışlarını tespit etmek için de kullanıcılara çeşitli teknolojiler sunmaktadır.  Azure Active Directory ve Microsoft 365 Güvenlik ve Uyumluluk bölümünden kullanıcıların oturum açması ile ilgili raporlar alınabilirken aynı zamanda PowerShell komutlarının kullanılması ile de detaylı bilgilere erişim sağlanır. Search-UnifiedAuditLog komutu ile denetim günlüklerindeki belirli aralıktaki tüm etkinlikler izlenebilir. Her Search- UnifiedAuditLog komutunda maksimum 5000 etkinlik görüntülenir. ResultSize  parametresi kullanılarak elde edilebilir  . ResultSize kullanılsa bile, belirtilen aralıkta kaç kayıt olduğu garanti edilmez.  Tüm kayıtları alana kadar Search- UnifiedAuditLog’u SessionId ile tekrar tekrar aranması gerekir. SessionId kullanılsa bile, belirli bir süre için 50.000 kayıt alınabilir ve sınırı aşarsa tüm kayıtlar geri alınamaz. Haliyle kullanıcıların oturum açma işlemlerinde belirli filtreler kullanılması sağlıklı olacaktır. Bu noktada Technet Gallery’de kullanıcıların kolay kullabilecekleri PowerShell komutu yer alır. Bu PowerShell komutu ile kullanıcıların hem başarılı hem başarsız oturum açma etkinlikleri, belirli kullanıcıların oturum açma geçmişi veya bir kullanıcı listesi, belirli zamanda aralığındaki oturum açma geçmişi gibi birçok filtrelemeler yapılarak oturum etkinlikleri raporlanır. Buradaki Powershell komut dosyası, başarılı ve başarısız oturum açma girişimlerine göre sonuçların filtrelenmesine olanak sağlar. Sunduğu rapor içerisinde kullanıcının oturum açma zamanları, kullanıcı bilgileri, IP adres bilgisi, oturum açma durumları, workload bilgileri yer alır. Bu komut dizini MFA’nın etkin olduğu yetkili kullanıcı hesabı ile de çalıştırılabilir. Filtreler kullanılarak Microsoft 365 kullanıcılarının oturum açma raporu ve şüpheli oturum açma raporları dışa aktarılabilir. Dışa aktarılan rapor .CSV uzantılıdır. Oturum açma geçmişi raporunda workload olarak Azure Active Directory (User LoggedIn, UserLoginFailed), Exchange Online (MailbozLogin) ve Microsoft Teams (TeamsSessionStarted)’da oturum açma etkinlileri yer alır. Microsoft Teams oturum açma işlemlerinde bir IP adresi ve sonuç durumu olmadığı için raporda bu bilgiler boş olarak gelecektir. Bu yüzden raporda başarılı Microsoft Teams oturum açma bilgileri yer alır.

İlgili PowerShell komutu Technet Gallery’den indirilerek MFA özelliği aktif olmayan kullanıcı ile aşağıdaki şekilde çalıştırılır. Öncelikle PowerShell’de indirilen dosyanın dizinine gidilir ve komut çalıştırılır.

.\O365UserLoginHistory.ps1

 

 

 

MFA aktif edilen yetkili kullanıcı ile ise aşağıdaki parametre eklenerek komut çalıştırılır. Exchange Online MFA modülü yüklenmesi için izinler verildikten sonra bağlantı sağlanır.

.\O365UserLoginHistory.ps1 -MFA

 

 

Gerekli Powershell komutu çalıştırılıp, yetkili kullanıcı bilgileri girilir ve oturum açma etkinliği ile ilgili rapor dışa aktarılır. Bu komut Microsoft 365 kullanıcılarının son 90 güne ait oturum açma geçmişini dışa aktarır. Belirli tarih aralıklarındaki, belirli kullanıcı ya da kullanıcılara dair etkinlikler, başarılı ya da başarısız oturum açma etkinlikleri gibi bilgilere dair filtreler uygulanabilir.

 

 

 

 

PowerShell komutu çalıştıktan sonra PowerShell’de aşağıdaki bilgiler görüntülenir. Hangi tarih aralıklarındaki bilgilerin çekildiği ve raporun yer aldığı dizin görüntülenir. Aynı zamanda rapordaki kayıt sayısına dair bilgi de PowerShell sonucunda görüntülenir.

 

 

PowerShell komutu çalıştırıldıktan sonra ilgili dizinde rapora erişim sağlanır. Rapor içerisinde kullanıcıların Login Time, User Name, IP Address, Operation, Result Status ve Workload bilgileri görüntülenir.

 

 

Belirli aralıktaki oturum bilgilerine erişim için -StartDate ve -EndDate parametreleri kullanılır. Aşağıdaki örnekte belirli 01/01/21 tarihinden 01/07/21’ne kadar olan oturum açma bilgileri raporlanmıştır. Tarih yazım biçimi ay, gün ve yıl şeklinde olmalıdır. Komutun çalıştırıldıktan ve işlemini tamamladıktan sonra komutun hangi tarih aralıklarını baz aldığını, çıktı raporunun dizini ve içerisinde yer alan kayıt sayısı görüntülenir.

./O365UserLoginHistory.ps1 -StartDate 01/01/21 -EndDate 07/01/21

 

 

 İlgili komut belirli kullanıcı ya da kullanıcıların oturum bilgilerini raporlamak için de kullanılabilir. Bunun için -UserName parametresi kullanılır. Birden fazla kullanıcının oturum açma etkinliklerine erişmek için -UserName parametresinden sonra tırnak içerisinde virgül ile ayrılarak kullanıcı bilgileri girilir. Komutun çalıştırıldıktan ve işlemini tamamladıktan sonra komutun hangi tarih aralıklarını baz aldığını, çıktı raporunun dizini ve içerisinde yer alan kayıt sayısı görüntülenir.

./O365UserLoginHistory.ps1 -UserName user1@ecan01.onmicrosoft.com

 

 

Oturum açma işlemleri başarılı ya da başarısız olan etkinlikler de ilgili komut kullanılarak raporlanabilir. Microsoft 365 kullanıcılarının oturumlarını başarılı açtıkları etkinliklerin raporlanmasında -Success parametresi kullanılırken, başarısız oturum açma işlemlerinin raporlanması için -Failed parametresi kullanılır. Bu parametreler ile şüpheli işlemler de analiz edilir. Bu raporlara tarih aralığı, oturum açma IP adres bilgisi gibi filtreler de uygulanabilir. Böylelikle analiz ettiğiniz bilgiler daha anlamlı hale gelecektir.

./O365UserLoginHistory.ps1 -Failed –StartDate “01/01/21″ -EndDate “07/01/21″

 

 

Görüldüğü üzere ilgili komut kullanıcılara birçok gelişmiş filtre kullanarak kullanıcıların ihtiyacı olan oturum açma etkinliklerine erişimini sağlar.  Buradaki raporlanan veriler daha önce de belirtildiği üzere son 90 güne aittir. IT yöneticileri ilgili komutu belirli aralıklarla otomatik olarak çalıştırmak için Windows’daki Görev Zamanlayıcısı’nı kullanabilir. Bu planlama sırasında -AdminName ve -Password parametrelerini kullanarak kimlik bilgilerinin otomatik olarak komut ile çalışması sağlanabilir. Burada girilen kimliğin güvenliği düşünülerek bu işlem gerçekleştirilmelidir.

CEVAP VER

Yorumunuzu girin !
İsminizi girin