Audit log Microsoft 365 – monitoruj aktywność w firmie

Czym jest audit log i dlaczego firma go potrzebuje

Audit log (dziennik inspekcji) to wbudowany mechanizm Microsoft 365, który rejestruje aktywność użytkowników i administratorów we wszystkich usługach pakietu – Exchange Online, SharePoint, OneDrive, Teams, Microsoft Entra ID i dziesiątkach innych. Każde zdarzenie trafia do scentralizowanego rejestru dostępnego przez Microsoft Purview Compliance Portal.

Dla firmy MŚP audit log ma trzy kluczowe zastosowania:

• Wykrywanie incydentów bezpieczeństwa – analiza logów pozwala ustalić, czy konto zostało przejęte, skąd pochodzi podejrzane logowanie i jakie dane mogły zostać pobrane lub udostępnione poza organizację.
• Dochodzenia po zdarzeniu – gdy coś się wydarzy (wyciek danych, sabotaż, błąd pracownika), logi inspekcji dają pełną oś czasu zdarzeń z dokładnością co do sekundy.
• Zgodność z regulacjami – RODO, NIS2 i wewnętrzne polityki IT wymagają możliwości udowodnienia, kto miał dostęp do danych i kiedy. Audit log to gotowy materiał dowodowy.

Ważna informacja: Microsoft 365 domyślnie włącza rejestrowanie inspekcji dla nowych tenantów, jednak w starszych środowiskach funkcja ta mogła nie być aktywna. Warto to zweryfikować, zanim zajdzie potrzeba skorzystania z logów – najlepiej jeszcze dziś.

Jak włączyć rejestrowanie inspekcji – pierwsze kroki

Włączenie i weryfikację audit log przeprowadza się przez Microsoft Purview Compliance Portal dostępny pod adresem compliance.microsoft.com. Do wykonania tej operacji potrzebna jest rola Compliance Administrator lub Global Administrator.

1. Przejdź do compliance.microsoft.com i zaloguj się jako administrator.
2. W lewym menu wybierz pozycję Audit.
3. Jeśli rejestrowanie nie jest włączone, zobaczysz baner z przyciskiem Start recording user and admin activity – kliknij go.
4. Poczekaj do 60 minut – tyle może zająć pełna aktywacja dla całego tenanta.
5. Weryfikację możesz również przeprowadzić przez PowerShell (Exchange Online Management Shell):
   Get-AdminAuditLogConfig | Select-Object UnifiedAuditLogIngestionEnabled

Jeśli wynik to False, uruchom polecenie aktywujące:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Kwestia licencji: Podstawowy audit log z retencją 90 dni jest dostępny już w planach Business Basic, Standard i Premium. Rozszerzone rejestrowanie z retencją do roku lub 10 lat, znane jako Audit Premium, wymaga Microsoft 365 E3/E5 lub dodatku Microsoft Purview Audit.

Co możesz monitorować – kluczowe kategorie zdarzeń

Microsoft 365 rejestruje setki typów zdarzeń. Oto kategorie, które mają największe znaczenie dla bezpieczeństwa firmy MŚP:

• Logowania i uwierzytelnianie (Entra ID) – udane i nieudane próby logowania, użycie MFA, logowania z nowych lokalizacji lub podejrzanych adresów IP, dostęp do aplikacji SaaS.
• Exchange Online (poczta e-mail) – dostęp do skrzynek przez inne konta, usuwanie wiadomości, tworzenie reguł automatycznego przekierowania, zmiany uprawnień skrzynki.
• SharePoint i OneDrive (pliki) – tworzenie, edycja, udostępnianie i usuwanie plików, masowe pobieranie danych, zmiany uprawnień witryn i bibliotek.
• Microsoft Teams – tworzenie i usuwanie kanałów, dostęp gości do zespołów, udostępnianie plików w rozmowach.
• Działania administratorów – przyznawanie i odbieranie ról, tworzenie oraz usuwanie kont użytkowników, zmiany w politykach bezpieczeństwa, resetowanie haseł.
• Aplikacje i zgody OAuth (Entra ID) – przyznawanie zgód aplikacjom firm trzecich, logowania do SaaS, modyfikacje enterprise apps.

Szczególną uwagę warto poświęcić zdarzeniu MailItemsAccessed – rejestruje ono każdy dostęp do wiadomości przez protokoły IMAP lub REST API. To kluczowy sygnał przy podejrzeniu przejęcia konta (BEC). Zdarzenie to dostępne jest jednak wyłącznie w planach z Audit Premium (E3/E5).

Wyszukiwanie zdarzeń w Purview – krok po kroku

Wyszukiwanie logów inspekcji to podstawowa operacja podczas analizy incydentu lub rutynowej weryfikacji aktywności użytkowników. Oto jak przeprowadzić je w praktyce:

1. Wejdź na compliance.microsoft.com → Audit → Search.
2. Ustaw zakres dat – do 90 dni wstecz w planie standardowym, dłużej przy Audit Premium.
3. Wybierz Activities – możesz filtrować po kategorii (np. File and page activities) lub wybrać konkretne typy zdarzeń z listy.
4. Opcjonalnie wpisz Users (sprawdzany użytkownik) oraz File, folder or site (konkretny zasób lub witryna).
5. Kliknij Search i poczekaj na wyniki – przy dużej liczbie zdarzeń może to potrwać kilka minut.
6. Kliknij dowolny wiersz wyników, by zobaczyć szczegóły: adres IP, lokalizację geograficzną, użytego klienta (przeglądarka, aplikacja mobilna, PowerShell) oraz wynik operacji (sukces lub błąd).

Wyniki możesz eksportować do pliku CSV – przydatne przy głębszej analizie w Excelu lub przekazaniu danych zewnętrznemu audytorowi. Zaawansowane wyszukiwanie z filtrowaniem po konkretnych właściwościach zdarzeń (np. po nazwie pliku lub adresie IP) umożliwia polecenie PowerShell Search-UnifiedAuditLog, które daje pełną elastyczność i możliwość automatyzacji.

Alerty bezpieczeństwa – automatyczna reakcja na podejrzane zdarzenia

Audit log jest najbardziej wartościowy, gdy firma reaguje na podejrzaną aktywność w czasie rzeczywistym – a nie dopiero po fakcie, gdy szkoda jest już wyrządzona. Alerty pozwalają automatycznie powiadamiać administratorów, gdy w logach pojawi się niepokojące zdarzenie.

Alerty konfiguruje się w Purview → Policies → Alert policies. Microsoft 365 oferuje gotowe szablony, które warto włączyć od razu po uruchomieniu środowiska:

• Elevated access activity – przyznanie roli administracyjnej dowolnemu użytkownikowi.
• Mass file download – pobranie dużej liczby plików przez jedną osobę w krótkim czasie (sygnał potencjalnej eksfiltracji danych).
• Unusual volume of external file sharing – masowe udostępnianie plików poza organizację.
• Email forwarding/redirect activity – ustawienie automatycznego przekierowania wiadomości na zewnętrzny adres (klasyczny sygnał przejętego konta).
• Malware detected in file – wykrycie złośliwego pliku w OneDrive lub SharePoint przez Defender.

Dla każdego alertu możesz ustawić próg aktywacji (np. 50 pobranych plików w ciągu godziny), poziom ważności (Low / Medium / High) oraz adresy e-mail do powiadomień. Alerty można też integrować z Microsoft Sentinel lub zewnętrznym SIEM przez API – co jest szczególnie przydatne w firmach z rozbudowaną infrastrukturą monitoringu bezpieczeństwa.

Retencja logów, eksport i zgodność z RODO

Czas przechowywania logów inspekcji zależy od posiadanych licencji Microsoft 365 – od 90 dni w planach Business aż do 10 lat w Purview Audit Premium. Dla firm, które muszą archiwizować logi dłużej (np. na potrzeby audytów branżowych lub wymogów NIS2), dostępne są dwa podejścia: eksport logów do Azure Storage lub zewnętrznego SIEM, albo wykupienie licencji Purview Audit Premium z długoterminową retencją.

Z perspektywy RODO warto pamiętać o kilku istotnych kwestiach:

• Logi inspekcji zawierają dane osobowe (adresy e-mail, adresy IP użytkowników) – należy uwzględnić je w rejestrze czynności przetwarzania danych.
• Podstawą prawną przechowywania jest zazwyczaj uzasadniony interes administratora w zakresie bezpieczeństwa IT i ochrony zasobów organizacji.
• Dostęp do logów powinien być ograniczony wyłącznie do uprawnionych administratorów – nie każda osoba w dziale IT powinna widzieć pełną historię aktywności wszystkich pracowników.

Praktyczna wskazówka na koniec: regularne przeglądanie alertów i logów – nawet raz w tygodniu przez 15–20 minut – pozwala wychwycić anomalie, zanim staną się poważnym incydentem bezpieczeństwa. Warto stworzyć prostą procedurę określającą, kto i kiedy przegląda logi oraz jakie kroki podejmuje po wykryciu niepokojącego zdarzenia.