![見出し画像](https://assets.st-note.com/production/uploads/images/56861539/rectangle_large_type_2_b4fdd442474e4b15ac1243cfbfce73a7.png?width=800)
OneDrive Businessの動きが監査ログでどう見えるのか見てみた。
前回は以下
今回はタイトル通り監査ログを見てみた。
監査ログ取得を開始
「MS365コンプライアンス」-「監査」-「ユーザと管理者のアクティビティを開始する」をクリック
![画像1](https://assets.st-note.com/production/uploads/images/56800115/picture_pc_30aad8735012f5bc1f19c121a77fc447.png?width=800)
適当にいじってみる。
フォルダ、ファイル作成、名前変更、削除の監査ログ
![画像12](https://assets.st-note.com/production/uploads/images/57158262/picture_pc_cb0be1b9d1f6b3bfb2c37247ca74b14c.png?width=800)
フォルダ共有(リンクを知っているすべてのユーザ)
条件で設定
![画像5](https://assets.st-note.com/production/uploads/images/57037216/picture_pc_d604461700e71630f172a8fdd6b5d690.png?width=800)
監査ログとしては以下、これは「匿名リンク」と呼ばれることがわかった。
![画像13](https://assets.st-note.com/production/uploads/images/57158487/picture_pc_45743b4df9a8ef209c3cb2b1799b3f79.png?width=800)
同一テナントのユーザでアクセスした場合
ユーザ名にどのユーザがアクセスしたのかがわかる。
![画像14](https://assets.st-note.com/production/uploads/images/57159078/picture_pc_a07814fe07646ec9390e828e9247e1ff.png)
MS365にログインしていない状態でアクセス
初回アクセス時には「anonymous」と表示されるが、その後ファイルを開いても誰がやっているのかわからない。
![画像15](https://assets.st-note.com/production/uploads/images/57159464/picture_pc_e2232f1ac01d4d3a19c09a1131d77b14.png?width=800)
別のMS365にログインしているユーザでアクセス
ユーザ名が「(招待メールアドレス)#ext#@(テナントドメイン名)」の表記で表示されていた。
![画像21](https://assets.st-note.com/production/uploads/images/57170914/picture_pc_d015bc4cfd7e1e8c54a457dabc999030.png?width=800)
ダウンロードの時はどういうものが出るのか。
同一ドメインユーザでダウンロード
![画像22](https://assets.st-note.com/production/uploads/images/57174918/picture_pc_eb6c5629bc0366afdd9bf2bbeacb3bc0.png?width=800)
MS365にログインしていない状態でダウンロード
![画像16](https://assets.st-note.com/production/uploads/images/57160174/picture_pc_f700a6eb4d5e80dbc31aa0072643e21a.png?width=800)
別テナントにログインした状態でダウンロード
![画像21](https://assets.st-note.com/production/uploads/images/57170989/picture_pc_94be10d6ac2a3151b330a61cd9dc55a9.png?width=800)
「リンクを知っているテナント内のユーザー」リンク
共有条件は以下
![画像5](https://assets.st-note.com/production/uploads/images/57037182/picture_pc_06545a48a7cca5b50c40a70d45a753fb.png?width=800)
監査ログ上は以下
「会社の共有可能なリンク」という表記であることを確認
![画像19](https://assets.st-note.com/production/uploads/images/57160686/picture_pc_85b7ef612fec5e5f1959dfcec7a5faaf.png?width=800)
テナント内のユーザでアクセス 編集、ダウンロード
![画像20](https://assets.st-note.com/production/uploads/images/57160862/picture_pc_02a74f56ee68fdd76f9fec337e475d26.png?width=800)
MS365にログインしていない状態でアクセス
![画像4](https://assets.st-note.com/production/uploads/images/57037010/picture_pc_dfed6318b5987a4890fca6e45b92285e.png?width=800)
別テナントの365にログインしているユーザでアクセス
![画像5](https://assets.st-note.com/production/uploads/images/57037109/picture_pc_37b62b58a81a4d1ec87ae35b062d746f.png?width=800)
「特定ユーザー」リンク
設定は以下
![画像6](https://assets.st-note.com/production/uploads/images/57037371/picture_pc_3e3aacbaac860bfafd1b21a9e67b053e.png?width=800)
監査ログとしては以下
「セキュリティで保護されたリンク」であることを確認
![画像21](https://assets.st-note.com/production/uploads/images/57161198/picture_pc_688304a9bfa385d8df00a68159d23065.png?width=800)
テナント内のユーザでアクセス 編集、ダウンロード
![画像22](https://assets.st-note.com/production/uploads/images/57161357/picture_pc_13068a6897d6c6438048ec51307634cd.png?width=800)
ログインしていないユーザ
アクセス時に以下が出る。監査ログ上は何もでない。
![画像7](https://assets.st-note.com/production/uploads/images/57037593/picture_pc_33be58dfd918f5a66c3855a6c38080ac.png)
20:43 他テナント
正しくログインすると
![画像8](https://assets.st-note.com/production/uploads/images/57037693/picture_pc_52ec1a8e17831e8a350df7affa963c4c.png)
以下のメールが届く
![画像9](https://assets.st-note.com/production/uploads/images/57037747/picture_pc_44a32956e657459328a58907d1953ae5.png?width=800)
ユーザ名も表示され誰が操作しているのかがわかった。
![画像21](https://assets.st-note.com/production/uploads/images/57171129/picture_pc_cc0c996023f84e43543379ff0aa7c8de.png?width=800)
まとめ
OneDriveは以下のアクティビティで把握する
●共有フォルダの作成
匿名リンクの作成
会社共有可能なリンク
セキュリティで保護されたリンク
●アクセスの確認
匿名リンクの使用
会社共有可能なリンクの使用
セキュリティで保護されたリンクの使用
●ダウンロード
ファイルのダウンロード
その他 OneDrive関連の記事は以下
この記事が気に入ったらサポートをしてみませんか?