Johdanto
Office 365 Security & Compliance Center mahdollistaa eritasoisten ja laajuisten varoitusilmoitusten konfiguroimisen. Tämä tapahtuu luomalla varoituskäytäntöjä (alert policies), jotka ovat jaettavissa kuuteen kategoriaan:
- Tiedonmenetyksen ennaltaehkäisy
- Uhkien hallinta
- Tiedon hallinta
- Käyttöoikeudet
- Sähköpostin kulku
- Muut
Kukin kategoria pitää sisällään erilaisia aktiviteetteja. Varoitusilmoitukset konfiguroidaankin määrittämällä pääasiassa seuraavat asiat:
1) Uhan vakavuus (matala, keskitaso, korkea)
2) Uhan kategoria
3) Tunnistettava aktiviteetti
4) Ehdot, joiden perusteella tunnistettuun aktiviteettiin reagoidaan
5) Varoitusilmoitusten vastaanottaja
Auditoinnin käyttöönotto
Varoituskäytäntöjen toiminta edellyttää auditoinnin käyttöönottoa Office 365 Security & Compliance Centerissä. Jos auditointi ei ole päällä (oletuksena ei ole), siitä varoitetaan tarkastellessa jotain luotua varoituskäytäntöä.
Otin auditoinnin käyttöön navigoimalla Office 365 Security & Compliance Centeristä Search > Audit log search. Painoin sieltä “Turn on auditing“.
Muutoksen täytäntöönpanossa meni pari tuntia.
Varoituskäytännön luominen
Varoituskäytäntöjä luodaan ja hallitaan Office 365 Security & Compliance Centeristä navigoimalla Alerts > Alert policies: https://protection.office.com/alertpolicies
Siellä on oletuksena luotuna noin yhdeksän käytäntöä, joita voi muuttaa vain osittain. Ne luodaan automaattisesti kaikkiin Office 365 -tenantteihin.
Uuden varoituskäytännön voi luoda painamalla “New alert policy” -painiketta.
Ensiksi uudelle käytännölle määritetään nimi, kuvaus, uhan vakavuus ja uhan kategoria. Vakavuusasteita on matala, keskitaso ja korkea. Ne eivät vaikuta siihen, miten käytäntöjä priorisoidaan automaattisesti Officen toimesta, vaan auttavat lähinnä ylläpitäjiä priorisoimaan ja suodattamaan käytäntöjä.
Esimerkiksi tein käytännön, joka varoittaa aina, jos käyttäjän sähköpostiin luodaan edelleenohjaussääntöjä organisaation ulkoisesta IP-osoitteesta:
Name: Creation of forwarding/redirect rule outside organization
Description: This policy alerts when a forwarding or redirect rule is created to user mailbox outside of the organizations IP address scope.
Severity: Medium
Category: Mail flow
Seuraavaksi määritellään tunnistettava aktiviteetti ja ehdot, joiden perusteella tunnistettuun aktiviteettiin reagoidaan. Aktivitetteja voi olla vain yksi per varoituskäytäntö, mutta ehtoja useita. Itse määrittelin seuraavasti:
Activity is: Created mail forward/redirect rule
IP address is: Equals none of: <organisaation julkinen IP-osoite>
Käytännössä siis varoitus lähtee aina, jos sähköpostiin luodaan uudelleen- tai edelleenlähetyssääntö IP-osoitteesta, joka ei ole tuo määritelty IP-osoite.
Seuraavaksi määritellään, mihin sähköpostiosoitteeseen varoitusilmoitukset lähetetään. Voidaan myös määritellä lähetettävien varoitusten maksimimäärän per päivä. Itse määrittelin, että sähköposti-ilmoituksia lähetetään valitsemaani osoitteeseen, ja että ilmoitusten maksimimäärää ei ole rajoitettu.
Lopuksi pystyy arvioimaan kaikki käytännön asetukset, aktiviteetit, ehdot jne. Lisäksi voi määritellä laitetaanko käytäntö heti käyttöön vai ei.
Varoituskäytäntö luotiin ja se näkyi nyt käytäntölistassa:
Status-sarakkeesta nähdään, että käytäntö on päällä. Office 365:n automaattisesti oletuksena luomat käytännöt näkyvät lihavoituna, eikä niiden status-sarakkeessa näy, ovatko ne päällä vai eivät. Ne kuitenkin ovat aina oletuksena päällä.
Testasin säännön toimivuuden luomalla Outlookista edelleenohjaussäännön toiseen tenantin ulkopuoliseen sähköpostiosoitteeseeni.
Muutaman minuutin viivellä hallintatilini postilaatikkoon saapui varoitusilmoitus:
Sääntö siis toimi. Office 365 Security & Compliance Centeristä voidaan luoda vastaavasti hyvin erilaisia ja monipuolisia sääntöjä erilaisia uhkia vastaan.
TÄTÄ DOKUMENTTIA SAA KOPIOIDA JA MUOKATA GNU GENERAL PUBLIC LICENSE (VERSIO 3 TAI UUDEMPI) MUKAISESTI. HTTP://WWW.GNU.ORG/LICENSES/GPL.HTML
MARKUS PYHÄRANTA