Nessun prodotto nel carrello.
La gestione dei log di audit è una parte cruciale della sicurezza e della conformità per le aziende che utilizzano Microsoft 365. Tuttavia, c’è un problema persistente che riguarda le ricerche di audit scoped tra Purview e Exchange Online, due delle principali piattaforme di Microsoft per la gestione dei dati e della conformità. In questo articolo, esamineremo in dettaglio questo problema, evidenziando le differenze di approccio tra le due piattaforme e le conseguenze che queste discrepanze possono avere sulla gestione dei dati sensibili.
Cos’è una ricerca di log di audit scoped?
Una ricerca di log di audit scoped consente di limitare i risultati della ricerca a specifiche unità amministrative. Questo approccio è utile quando un’organizzazione vuole garantire che solo determinate persone possano accedere ai log di audit relativi a specifiche aree dell’azienda. Ad esempio, un account che ha il ruolo di Audit Manager in Purview può essere configurato per avere accesso solo ai log di una singola unità amministrativa o di più unità, oppure all’intera organizzazione.
Supporto di Purview alle ricerche di log di audit scoped
Dal novembre 2023, Purview ha introdotto il supporto per le ricerche di log di audit scoped utilizzando le unità amministrative di Entra. Questo significa che ogni record di audit è contrassegnato con l’account utente o il principale di servizio responsabile dell’azione registrata. Se un account utente appartiene a un’unità amministrativa, l’evento di audit cattura l’identificatore dell’unità amministrativa in un array chiamato AssociatedAdminUnits nel payload di audit.
Questo sistema permette agli amministratori di Microsoft Purview di eseguire ricerche di audit limitate solo ai dati pertinenti alle unità amministrative di cui sono responsabili. Un esempio di codice che illustra come ottenere il payload di audit da un record e convertire i dati da JSON è il seguente:
$AuditData = $Records[0].Auditdata | ConvertFrom-JSON
ForEach ($AU in $Auditdata.AssociatedAdminUnits) {
$AUName = Get-MgDirectoryAdministrativeUnit -AdministrativeUnitId $AU.toString() | Select-Object -ExpandProperty DisplayName
Write-Host ("Found administrative unit {0} ({1})" -f $AUName, $AU)
}
In questo esempio, viene restituito il nome visualizzato di ogni unità amministrativa associata all’evento di audit.
Limitazioni delle ricerche di log di audit con unità amministrative
Quando un utente con un ruolo di Audit Manager scoped accede al portale di conformità di Purview per eseguire una ricerca di log di audit, può selezionare una o più unità amministrative a cui è assegnato. Questo sistema garantisce che vengano restituiti solo i record di audit che corrispondono alle unità amministrative selezionate.
Un aspetto interessante di questo processo è che, quando vengono restituiti i risultati della ricerca, i record contengono gli identificatori delle unità amministrative associate. Questo aiuta a validare che la ricerca abbia effettivamente limitato i risultati in base al scoping selezionato. L’immagine seguente mostra come vengono visualizzati gli identificatori delle unità amministrative nei record di audit:
Incoerenze tra Purview e Exchange Online
Un aspetto problematico delle ricerche di audit scoped è la mancanza di coerenza tra Purview ed Exchange Online. Mentre Purview supporta le ricerche scoped tramite il portale di conformità e le Graph API, lo stesso non si può dire per il cmdlet Search-UnifiedAuditLog di Exchange Online. Questo cmdlet è uno strumento molto popolare tra gli amministratori per eseguire ricerche nei log di audit, ma non supporta il scoping delle unità amministrative.
La Search-UnifiedAuditLog fa parte del modulo Exchange Online Management PowerShell e utilizza il sistema Role Based Access Control (RBAC) di Exchange per limitare le sue funzionalità. Tuttavia, il fatto che non supporti il scoping delle unità amministrative rappresenta un grosso limite per le aziende che desiderano gestire l’accesso ai log di audit in modo preciso.
Differenze nelle tempistiche di ricerca tra Purview ed Exchange Online
Un’altra differenza tra Purview ed Exchange Online riguarda le tempistiche delle ricerche. Le ricerche eseguite con il cmdlet Search-UnifiedAuditLog sono solitamente più rapide rispetto a quelle eseguite tramite Purview o la Graph API. Questo perché le ricerche con Search-UnifiedAuditLog sono sincrone, mentre quelle eseguite tramite Purview inviano lavori in background per trovare i record di audit.
A seconda del numero di record trovati, i risultati delle ricerche di Purview potrebbero non essere disponibili per almeno 10 minuti, e in alcuni casi molto di più. Questa discrepanza nelle tempistiche può causare frustrazione per gli amministratori che cercano risultati rapidi per la conformità o le indagini di sicurezza.
Implicazioni della mancanza di coerenza nel scoping
Il fatto che Microsoft permetta l’esistenza di meccanismi di scoping incoerenti tra Exchange Online e Purview è sorprendente. La spiegazione più probabile è che le due piattaforme siano sviluppate da team di ingegneria diversi, ciascuno con priorità diverse. Questo può spiegare perché non è ancora stato implementato un comportamento di scoping comune.
Tuttavia, la mancanza di coerenza nelle ricerche di log di audit scoped ha potenziali conseguenze serie. In primo luogo, aumenta il rischio di divulgazione accidentale di informazioni personali identificabili (PII), poiché i dati potrebbero essere accessibili a persone che non dovrebbero avere visibilità su determinate unità amministrative. In secondo luogo, rende la gestione degli accessi scoped ai dati più complicata di quanto dovrebbe essere.
Necessità di una soluzione da parte di Microsoft
È chiaro che la situazione attuale non è accettabile per molte aziende che utilizzano Microsoft 365. La gestione dei log di audit è una parte cruciale della conformità e della sicurezza, e l’incoerenza nel modo in cui vengono gestite le ricerche scoped può esporre le organizzazioni a rischi significativi.
Microsoft dovrebbe affrontare questo problema e fornire una soluzione che consenta a entrambe le piattaforme di supportare in modo coerente le ricerche di log di audit scoped. Questo richiederebbe probabilmente una collaborazione tra i team di ingegneria responsabili di Purview, Exchange Online e delle Graph API.
Conclusione
La gestione delle ricerche di log di audit scoped è un’area critica per molte organizzazioni che utilizzano Microsoft 365. Sebbene Purview supporti le ricerche scoped tramite il portale di conformità e le Graph API, l’incoerenza con il cmdlet Search-UnifiedAuditLog di Exchange Online crea un problema significativo.
Questa mancanza di coerenza rende la gestione degli accessi ai dati più difficile e aumenta il rischio di divulgazione accidentale di dati sensibili. Microsoft dovrebbe lavorare per risolvere questo problema, fornendo una soluzione che garantisca un comportamento coerente per le ricerche di audit scoped su tutte le piattaforme.
