Microsoft 365 -valvonta
Microsoft 365 on monessa organisaatiossa kriittisin palvelukokonaisuus – ja samalla yleinen hyökkäyspinta: identiteetit, sähköposti ja tiedostopalvelut ovat sekä työn ytimessä että hyökkääjän kiinnostuksen kohteena.
Light SOC:n Microsoft-valvonta tuo M365/Entra-tapahtumat samaan näkymään muun IT-ympäristön kanssa ja tarkastelee niitä kokonaisuutena. Tapahtumat kerätään API-pohjaisesti ja niistä muodostetaan hakukelpoinen, raportoitava ja hälytysvalmis tietokanta.
Tyypillisesti valvottavia tapahtumaluokkia:
- Entra ID (Azure AD): kirjautumiset ja epätyypilliset kirjautumiskuviot, rooli- ja oikeusmuutokset, policy- ja asetustason muutokset
- Exchange Online: postilaatikkosäännöt (esim. automaattinen edelleenlähetys), mailflow-tapahtumat, poikkeavat kirjautumiset ja muutokset
Saat käytännössä:
- Näkyvyyden Entra ID:n ja Exchange Onlinen kriittisiin tapahtumiin
- Hälytykset ja poikkeamat priorisoituna ja toimitettuna sovitulla toimintamallilla, selkeillä toimenpidesuosituksilla
- Mahdollisuuden nähdä tapahtumat ketjuna
Miksi Microsoft 365 -valvontaa tarvitaan erikseen?
Microsoft 365 sisältää hyviä perusnäkymiä ja lokitietoa, mutta usein se ei yksin riitä jatkuvaan valvontaan ja selkeään tilannekuvaan. Etenkään jos halutaan yhdistää pilven tapahtumat muuhun IT-ympäristöön ja tehdä niistä helposti seurattavia.
Light SOC kokoaa Microsoft 365/Entra ID -tapahtumat ja muun IT-ympäristön lokit samaan näkymään, jolloin yksittäiset tapahtumat muuttuvat kokonaisuudeksi. Esimerkiksi poikkeava kirjautuminen, oikeusmuutos ja epätavallinen toiminta voidaan nähdä yhtenä tapahtumaketjuna, ei erillisinä riveinä eri näkymissä.
Mitä Light SOC voi valvoa Microsoft 365:ssä
1) Entra ID (Azure AD) – identiteetti ja kirjautumiset
Light SOC:n kautta voidaan valvoa esimerkiksi:
- kirjautumisyritykset ja epäonnistumiset
- kirjautumisen lähde (maa/IP), kirjautumistapa ja asiakasohjelma
- toistuvat epäonnistumiset ja epätyypillinen kirjautumiskäyttäytyminen
- MFA:han liittyvät epäonnistumiset ja poikkeamat
- käyttäjäelinkaaren tapahtumat
- ryhmäjäsenyys- ja roolimuutokset
2) Exchange Online – postilaatikot, mailflow ja poikkeavat säännöt
- mailflow-tapahtumat ja poikkeamat
- postilaatikon käyttö ja epäilyttävät kirjautumiset
- oikeus- ja asetustason muutokset
- epäilyttävät postilaatikkosäännöt ja luvattomat muutokset
Miksi Light SOC, jos meillä on jo Microsoft 365?
Microsoft 365:ssä on paljon lokitietoa, mutta lokien säilytys ja käytettävyys voivat olla lisenssitasosta riippuen rajatumpia (esim. M365 E3 -tasolla säilytysaika voi olla 180 päivää). Lisäksi raportointi ja hälytyslogiikka jää helposti pirstaleiseksi.
Light SOC:ssa lokit voidaan säilyttää sovitun mallin mukaan pidempään (esim. 12 kuukautta), ja käytössä on valmiita raporttipohjia, dashboardeja sekä hälytyksiä, jotka yhdistävät tapahtumia toisiinsa (korrelaatio). Tämä tekee poikkeamien havaitsemisesta ja jäljitettävyydestä luotettavampaa ja helpottaa myös auditointitilanteita
Lisäksi Light SOC:n keskeinen hyöty on käytännönläheisyys: hälytykset priorisoidaan ja toimitetaan sovitusti ja poikkeamiin liitetään selkeät toimenpide-ehdotukset. Näin valvonnasta tulee hallittavaa ilman, että organisaation tarvitsee itse rakentaa kaikkia sääntöjä, raportteja ja seurantamalleja alusta asti.
Miten tämä liittyy Light SOC -palveluun?
Microsoft 365 -valvonta on osa Light SOC -kokonaisuutta: tapahtumat yhdistetään muihin lokilähteisiin, poikkeamat nostetaan esiin ja hälytykset toimitetaan sovitun toimintamallin mukaisesti. Hälytykset syntyvät 24/7 ja voidaan palveluajan ulkopuolella toimittaa sähköpostilla sovituille vastaanottajille, jos näin sovitaan.
Sovitaanko 30 minuutin demo?
Käydään läpi, millaisia hälytyksiä ja raportteja Light SOC tuottaa, ja miten ne tukevat tietoturvatapahtumien valvontaa. Saat samalla suosituksen sopivasta laajuudesta sekä selkeät seuraavat askeleet omassa ympäristössäsi.