黑客访问端点设备,以窃取公司特定数据、员工个人数据或任何其他可能对他们有任何用处的有价值的信息。 为了帮助您防止这种攻击,我们编写了一个参数列表,可以帮助您识别异常日志,这通常是攻击的第一个标志。
异常登录活动是安全漏洞最明显的指标之一,因此从组织内部和外部审核用户登录非常重要。 使用监视正确参数的工具,可以在入侵者访问您的有价值数据之前识别大多数安全威胁。
异常登录活动
您应该监控哪些参数?
以下参数可以将上下文信息添加到登录审计中,并帮助您区分常规用户登录活动和异常登录:
使用端点:注意不合适的设备的登录。首席执行官不会从邮件室、接待处或帐户部分的系统登录,对吗?
登录时间:在非营业时间跟踪登录。一个用户工作的9到5班次登录在上午3点? 是的,那很可疑。
频率: 监控登录趋势并识别过度登录。用户通常在早上登录一次,晚上登录一次
并发:大多数用户从一个端点登录。 但是看到用户突然从多个端点同时登录是一个明显的红旗。
与管理中心的用户登录审核
与Office365管理中心的用户登录审核有以下限制:
管理中心没有提供关于用户登录活动的专用审计报告。 您需要使用Office365管理中心.审计日志搜索工具过滤所需的审计日志
在管理中心,您不能查看用户登录信息,超过90天。
与M365安全加,另一方面,您可以克服所有上述限制。 除了提供Office365管理中心提供的所有功能外,M365SecurityPlus还提供了许多其他功能来帮助您确保组织的安全。
M365 Security Plus
M365 Security Plus的特色功能
M365SecurityPlus提供了我们在一份易于理解的报告中提到的所有参数的信息,这意味着您不必通过Office365管理中心的审计日志进行搜索。 此外,M365SecurityPlus无限期地存储审计日志,因此您不必担心Office365中的90天窗口。
M365SecurityPlus提供了以下关于用户登录的审计报告:
用户登录活动
最近登录失败
最近成功的登录
这些报告可以设置为定期自动生成和发送到收件箱;您可以在PDF、HTML、XLS或CSV格式之间进行选择。
在非营业时间审核用户登录
在营业时间之外发生的用户登录应为安全和合规目的进行审计。 虽然Office365可以本地记录用户登录和其他用户活动,但它不能过滤所需的审计日志数据来跟踪员工是否在非营业时间登录到他们的帐户。
使用M365SecurityPlus,一旦您配置了您的营业时间,您可以在一次单击中检索非营业时间用户登录的审计数据。 您还可以跟踪在营业时间之外发生的用户活动,以确保员工不参与任何恶意活动。
