Office 365 compliance: auditlogboek

Audit, audit trail of audit logboek is een functionaliteit waarmee gebruikers- en systeemhandelingen kunnen worden vastgelegd voor latere referentie of verantwoording. Het was en is een eis in de normen voor voor compliant recordsmanagement. In server gebaseerde document management systemen was een audit functionaliteit al standaard aanwezig. Vaak werd de functie uitgeschakeld door beheerders, omdat het een te grote impact had op de performance: het is allemaal mooi, die compliance, maar het moet de werkzaamheden niet teveel gaan verstoren. Ook in SharePoint on premise bestond de functie al sinds 2007, in de Nederlandse versie onder de onmogelijke naam Controle instellingen voor de siteverzameling. Deze moest bewust aangeschakeld worden voor een sitecollectie en geconfigureerd met keuze uit te bewaren handelingen plus de periodieke opslag van het logboek (in Excel formaat). Ook in SharePoint Online is deze functionaliteit aanwezig. Een discussie over het al dan niet vastleggen van zoekgedrag van medewerkers kon het gevolg zijn.

Office 365 gaat met auditing heel anders om. Inmiddels is het default ingeschakeld, logt het meer dan honderd specifieke gebruikers-en systeemhandelingen, bestrijkt het de gehele tenant – niet alleen SharePoint – en wordt de log afhankelijk van abonnement en export korter of langer bewaard. Dat roept nieuwe vragen op.

Microsoft is bezig het inschakelen van audit logging de default instelling te maken voor alle tenants. Is dat (nog) niet het geval dan is de instelling te vinden in het Beveiliging- en compliance Center>Zoeken en onderzoeken>Zoeken naar activiteiten van gebruikers en beheerders. In mijn tenant vandaag nog Beveiliging en Compliance gezellig samen, maar wordt gescheiden voor een praktischer taakverdeling tussen jullie security officer en compliance officer/recordsmanager).

Office 365 logt op dit moment typen handelingen voor de volgende onderdelen van Office 365:

  • Gebruikersactiviteiten in SharePoint Online en OneDrive for Business
  • Gebruikersactiviteiten in Exchange Online (Exchange mailbox audit logging)
  • Beheeractiviteiten in SharePoint Online
  • Beheeractiviteiten in Azure Active Directory
  • Beheeractiviteiten in Exchange Online (Exchange admin audit logging)
  • Gebruikers- en beheeractiviteiten in Sway
  • Gebruikers- en beheeractiviteiten in Power BI
  • Gebruikers- en beheeractiviteiten in Microsoft Teams
  • Gebruikers- en beheeractiviteiten in Dynamics 365
  • Gebruikers- en beheeractiviteiten in Yammer
  • Gebruikers- en beheeractiviteiten in Microsoft Flow
  • Gebruikers- en beheeractiviteiten in Microsoft Stream
  • Gebruikers- en beheeractiviteiten in Microsoft PowerApps
  • eDiscovery activiteiten in het Beveiligings- en Compliance center
  • Analyticus- en beheeractiviteiten in Microsoft Workplace Analytics

Dat betekent dus dat logging óók plaats vindt van handelingen in de OneDrive van medewerkers. En dat logging ook plaats vindt in Exchange Online. Het laatste is sinds januari dit jaar ook by default zo ingesteld. Let op dat dan ook gebruikershandelingen als HardDelete, Softdelete en MoveToDeletedItems worden gelogd. Waarmee bewuste verwijderacties (verwijderen uit deleted items bijvoorbeeld) kunnen worden onderscheiden van een ongelukje. Deze instellingen kunnen eventueel door een admin aangepast of uitgezet.

Office 365 audit logs worden voor gebruikers met een E3 abonnement drie maanden bewaard. Voor gebruikers met een E5 abonnement (en E3 met advance Compliance add-on abo) een jaar.  De logs kunnen gefilterd worden voor raadpleging.

Ze kunnen geraadpleegd in een zoekscherm met filter en export functionaliteit. Ze kunnen ook naar Excel geëxporteerd. Het laatste handmatig of eventueel te automatiseren via Office 365 Management Activity API, een REST webservice.

Het verschil tussen de audit logboek functie in Office 365 en de audit trail functie in SharePoint (on premise en Online) is dus groot. In SharePoint is de audit log:

  • Alleen voor SharePoint
  • Bewust aanschakelen audit trail functionaliteit: Controle instellingen voor de siteverzameling
  • Instellen per site-collectie
  • Logboek in Excel
  • Instellen lengte en opslaglocatie van logboek
  • Beperkt aantal handelingen
  • Alleen weergave item-ID ipv bestandsnamen

De meeste activiteiten in Office 365 worden na 30 minuten weergegeven in het audit logboek, uitgezonderd zijn Azure Active Directory, Sway en Yammer (24 uur). Opmerkelijk is dat de Power BI pagina van Microsoft de auditlogs van Power BI uitzondert, door handmatige aanschakeling en opname na 48 uur in de log. Terwijl deze pagina met overzicht van auditing het vinkje zet bij 30 minuten.

Een enorme vooruitgang is de Office 365 audit log ten opzichte van SharePoint. Niet alleen worden veel meer handelingen nu automatisch gelogd, ook worden andere Office 365 functies – anders dan alleen handelingen in geselecteerde SharePoint sitecollecties – hiermee onder het regime van logging gebracht. Een prettige verandering is de weergave van bestandsnamen, in plaats van documentID’s. Natuurlijk zouden we nu alle andere ID’s in de log (bijvoorbeeld voor search query) ook willen zien verdwijnen. Een ding is nog de bewaring van de logs (wel technisch mogelijk, maar nog niet by default) langer dan 90 dagen of een jaar.

Ik kan me voorstellen dat de Controle instellingen voor de siteverzameling in SharePoint Online en on premise wel een praktische aanvulling zouden kunnen zijn in een scenario met een recordcenter, aangezien deze dan is toegespitst op alleen die site-collectie, is in te stellen naar wens van de recordsmanager, voortdurend wordt afgeroomd naar Excel en op een zelf gekozen locatie in het recordcenter bewaard kan blijven voor een zelf gekozen duur.

En de discussie wie deze logs mag inzien en gebruiken vergt een nieuw en tijdig gesprek over Office 365 governance en wie daardoor toegang zal moeten krijgen tot de Office 365 beheeromgeving(-en).

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *