Inspekcja logowania użytkownika Office 365

Hakerzy uzyskują dostęp do urządzeń końcowych użytkowników, aby wykradać dane na temat przedsiębiorstwa, dane osobowe pracowników oraz wszelkie inne cenne informacje, które mogą być dla nich przydatne. Aby pomóc w przeciwdziałaniu tego typu atakom, stworzyliśmy listę parametrów, które mogą pomóc w zidentyfikowaniu nietypowych przypadków logowania, często będących oznaką ataku.

Nietypowa aktywność logowania jest często jednym z najbardziej ewidentnych wskaźników naruszenia bezpieczeństwa, dlatego jest ważne, aby poddać inspekcji przypadki logowania użytkowników z wewnątrz oraz spoza organizacji. Dzięki narzędziu monitorowania odpowiednich parametrów, większość zagrożeń bezpieczeństwa można zidentyfikować, zanim intruzi uzyskają dostęp do cennych danych.

Jakie parametry należy monitorować?

Poniższe parametry są kontekstowymi przesłankami ułatwiającymi inspekcję logowania, pomagają rozróżnić standardowe logowanie się użytkowników od niestandardowego:

• Użyty punkt końcowy: pozwala zidentyfikować przypadek logowania za pomocą nieprawidłowych urządzeń. CEO raczej nie loguje się z systemu w pokoju pocztowym, recepcji albo dziale księgowości, prawda?
• Czas logowania: pozwala monitorować logowanie w godzinach innych niż robocze. Użytkownik, który pracuje na zmianie od 9:00 do 17:00 loguje się w sobotę o 3:00 nad ranem? Owszem, to podejrzane.
• Częstotliwość: pozwala monitorować schematy logowania i identyfikować zbyt dużą liczbę logowań. Użytkownicy logują się zazwyczaj raz, rano, a później wylogowują się wieczorem. Częste logowanie się użytkownika w krótkich odstępach czasu może sugerować problem.
• Współbieżność: większość użytkowników loguje się z jednego punktu końcowego. A fakt, że użytkownik jest zalogowany w wielu punktach końcowych jednocześnie, to ewidentny sygnał ostrzegawczy.

Inspekcja logowania użytkownika za pomocą centrum administracyjnego

Inspekcja logowania użytkownika za pomocą centrum administracyjnego Office 365 ma następujące ograniczenia:

• W centrum administracyjnym nie są tworzone dedykowane raporty inspekcyjne na temat aktywności logowania użytkownika. Należy wyfiltrować wymagane dzienniki logowania za pomocą narzędzia wyszukiwania dzienników inspekcji w centrum administracyjnym Office 365.
• W centrum administracyjnym nie można wyświetlać informacji logowania starszych niż 90 dni.

Za pomocą O365 Manager Plus można z kolei uniknąć wszystkich powyższych ograniczeń. Nie licząc wszystkich funkcji centrum administracyjnego Office 365, O365 Manager Plus oferuje również wiele innych możliwości, które pomogą Ci zabezpieczyć organizację.

Funkcje O365 Manager Plus

O365 Manager Plus przekazuje informacje na temat wszystkich parametrów, o których właśnie wspomnieliśmy, w formie łatwych do zrozumienia raportów, dzięki czemu nie trzeba przeszukiwać dzienników inspekcji w centrum administracyjnym Office 365. Ponadto, w O365 Manager Plus dzienniki inspekcji są przechowywane bezterminowo, dzięki czemu nie trzeba przejmować się 90-dniowym odstępem, który jest typowy dla Office 365.

W O365 Manager Plus oferowane są następujące raporty inspekcyjne na temat logowań użytkownika:

• User logon activity
• Recent logon failures
• Recent successful logons

Można ustawić funkcję automatycznego tworzenia tych raportów oraz dostarczania ich na skrzynkę pocztową w regularnych odstępach; można wybierać pomiędzy formatami PDF, HTML, XLS lub CSV.

Wykrywanie brutalnych ataków siłowych

Wiele nieudanych prób logowania za pomocą jednego konta w krótkim okresie jest sygnałem ostrzegającym o brutalnym ataku siłowym. Dzięki raportowi o nieudanych próbach logowania oferowanych w O365 Manager Plus, można monitorować nietypową liczbę wszelkich nieudanych prób logowania. Raport zawiera szczegółowe informacje na temat naruszenia bezpieczeństwa konta użytkownika, adresu IP urządzenia użytego do logowania, a także na temat daty i godziny próby ataku oraz wiele innych informacji.

1. Wygeneruj raport Recent Logon Failures.
2. Zautomatyzuj raport, aby wykrywać ataki w trakcie w podróży.

W O365 Manager Plus, po skonfigurowaniu godzin roboczych, można jednym kliknięciem odzyskać dane inspekcji logowania użytkownika w godzinach innych niż robocze. Można także śledzić aktywność użytkownika poza godzinami roboczymi, aby mieć pewność, że pracownicy nie angażują się w żadne szkodliwe działania.