SharePoint Audit Log per migliorare la sicurezza aziendale

SharePoint Audit Log: cosa sono e a cosa servono?

Gli audit log, o log di controllo, sono una funzionalità integrata in SharePoint e Microsoft 365 che serve per monitorare le attività all’interno di una raccolta siti, fornendo un registro dettagliato delle azioni compiute dagli utenti e dagli amministratori.

Con gli audit log è quindi possibile tracciare:

• modifiche ai documenti
• eliminazioni di file in archivio
• modifiche ai permessi degli utenti
• etc.

Potremmo definirli come un archivio trasparente, in cui possiamo reperire tutte le interazioni significative avvenute nell'ambiente SharePoint aziendale. Come una telecamera attiva 24 ore su 24, che ci permette di registrare ciò che accade nel digital workplace.

Importante sottolineare che le funzionalità dei log di controllo variano leggermente a seconda della versione utilizzata della piattaforma.

In SharePoint Server, i log possono essere configurati direttamente dal sito e offrono un elevato livello di personalizzazione.

In SharePoint Online, invece, le funzioni di auditing sono state collegate a Microsoft Purview, una soluzione unificata che centralizza il monitoraggio e la gestione delle attività non solo per SharePoint, ma anche per altri strumenti della suite Microsoft 365.

Questa integrazione è un’evoluzione importante, poiché da un lato migliora l’efficienza della gestione dei log e dall’altro permette di sfruttare funzionalità avanzate come l’analisi centralizzata dei dati e la possibilità di esportare report dettagliati.

Perché monitorare le attività in SharePoint?

Ogni azione tracciata nei log rappresenta un punto di controllo che può essere analizzato per proteggere i dati aziendali e migliorare la governance interna.

Tra i principali vantaggi, spicca la possibilità di identificare accessi non autorizzati.

La capacità di rilevare attività sospette, come l’eliminazione massiva di file o modifiche inaspettate alle impostazioni di sicurezza, permette infatti di interpretare segnali che possono riportare a minacce informatiche.

Sapere chi ha visualizzato, modificato o condiviso un documento può fare la differenza tra un potenziale incidente di sicurezza e un sistema ben protetto.

Un log di controllo ha poi la capacità di rivelare se un utente non autorizzato ha tentato di accedere a una cartella riservata, permettendo di intervenire per revocarne i permessi o rafforzare le misure di sicurezza dell'intera infrastruttura. È come se un ladro tentasse di aprire la porta di casa nostra: la prima cosa che faremmo? Cambieremmo la serratura.

In termini di conformità normativa, regolamenti come il GDPR (relativo alla protezione dei dati personali e il rispetto della privacy) e standard internazionali come la ISO 27001 (che definisce i requisiti per ottimizzare un sistema di gestione per la sicurezza delle informazioni) richiedono alle aziende di dimostrare la capacità di proteggere i dati a loro disposizione e di monitorare le attività che li riguardano. Ecco che i security log di SharePoint offrono una base solida per generare report dettagliati utili durante audit interni o esterni.

Infine, l’attività di controllo supporta la gestione dei record aziendali.

Ciò garantisce che le modifiche ai documenti siano tracciate e che i dati siano sempre recuperabili: una funzionalità particolarmente utile in tutti quei contesti dove è necessaria la possibilità di risalire alla cronologia di un file.

Come configurare gli audit log in SharePoint

Per sfruttare il potenziale degli audit log in SharePoint è necessario che questi strumenti di controllo siano configurati alla perfezione. Per farlo, è necessario seguire alcuni passaggi.

In SharePoint Online, le funzionalità di auditing sono integrate nel centro conformità di Microsoft Purview. La registrazione delle attività utente e amministratore è generalmente abilitata per impostazione predefinita.

Per verificare lo stato o per visualizzare i log, si può accedere al Microsoft 365 Admin Center con il ruolo di amministratore e:

1. Accedere al Microsoft Purview Compliance Center, selezionando "Mostra tutto" e poi "Conformità" nella sezione dedicata agli amministratori del Microsoft 365 Admin Center.
   
   
2. Nel menu a sinistra, selezionare "Soluzioni" e poi "Audit". Fare poi click su "Cerca nei log di controllo" per accedere alla pagina di ricerca.
   
   
3. Definire parametri come attività, intervalli di date, utenti, file o siti; quindi, avviare la ricerca per visualizzare i risultati pertinenti.
   
   

Sebbene la registrazione delle attività sia generalmente attiva per impostazione predefinita, potrebbero esserci eccezioni o specifiche configurazioni aziendali che richiedono una verifica dello stato dell’audit log.

Inoltre, potrebbero essere necessari da 30 minuti a 24 ore affinché i dati siano disponibili dopo l’attivazione o la modifica delle impostazioni di auditing.

Ricerca degli audit log di SharePoint Online in Microsoft Purview

SharePoint Audit Log: quali attività monitorare?

Gli audit log di SharePoint sono in grado di monitorare una vasta gamma di attività, offrendone una panoramica dettagliata e rilevando anomalie che potrebbero nascondere rischi per la sicurezza dell'ambiente di lavoro digitale della propria azienda.

Quali sono gli eventi tracciabili nei log di controllo? Citiamone alcuni.

Modifica ed eliminazione di documenti

Quando un utente modifica o elimina un documento in SharePoint, i log registrano dettagli specifici, come il nome dell’utente, la data e l’ora dell’azione insieme al file coinvolto. Questo è utile non solo per risolvere incidenti, come ad esempio un’eliminazione accidentale, ma anche per prevenire abusi o errori che si ripetono nel tempo.

Inoltre, in caso di eliminazione, i log forniscono un riferimento per recuperare i file da backup.

Modifiche ai permessi e agli account

I log monitorano attentamente qualsiasi modifica avvenga ai permessi di accesso, inclusi i cambiamenti alle autorizzazioni di un sito, libreria o singolo file.

Così facendo, si evita che utenti non autorizzati accedano a contenuti riservati. Ad esempio, se un amministratore assegna diritti di modifica a un utente esterno, i log registrano il nome dell’amministratore, l’utente destinatario e il livello di accesso concesso.

Filtrare le attività registrate dagli audit log

Query di ricerca

Ogni volta che un utente utilizza la funzione di ricerca in SharePoint, i log registrano i termini cercati e i risultati visualizzati. Un tipo di tracciamento che serve a individuare schemi di comportamento sospetti.

Di fatto, se un utente effettua tante ricerche usando parole chiave sensibili (come "stipendi", "contratti riservati"), potrebbe essere un segnale di un tentativo di accesso a informazioni confidenziali non autorizzate.

Al di là della sicurezza, il monitoraggio delle query di ricerca offre anche vantaggi a livello organizzativo, poiché i dati possono essere analizzati per ottimizzare l’architettura dei contenuti, rendendo più facile per gli utenti trovare ciò di cui hanno bisogno.

Flussi di lavoro e altre attività di sistema

I flussi di lavoro automatizzati, noti anche come workflow, sono processi che eseguono azioni specifiche in SharePoint, come l’approvazione di nuovi documenti o l’invio di notifiche. Gli audit log tengono traccia di queste attività, fornendo dettagli su chi ha attivato il workflow, quando è stato eseguito e quali risultati ha prodotto.

Prendiamo un workflow di approvazione di un contratto: i log possono mostrare se un documento è stato approvato da tutte le parti richieste oppure se il processo si è interrotto per errore.

Analizzare le attività registrate dagli audit log

Come analizzare i report degli audit log in SharePoint

I report degli audit log possono essere visualizzati direttamente nel Compliance Center tramite Microsoft Purview Audit o essere esportati per svolgere analisi più approfondite.

Si possono filtrare i dati in base a criteri specifici, come intervallo di date, utente o tipo di attività.

Un responsabile IT può analizzare le attività di accesso di un collega durante un determinato periodo di tempo per verificare eventuali comportamenti sospetti, mentre un PM può esaminare le modifiche a documenti chiave durante lo sviluppo di un progetto.

L’esportazione dei report in formato Excel consente un'analisi più approfondita grazie all’uso di filtri e alla creazione di grafici e tabelle pivot. Le funzionalità di Excel possono tornare utili per individuare tendenze ricorrenti, come accessi frequenti a determinati file fuori dall’orario di lavoro.

SharePoint, dal canto suo, genera una serie di report standard per eventi comuni.

Tra questi troviamo:

• Modifiche al contenuto: fornisce dettagli su quali file sono stati modificati, quando e da chi.
• Eliminazione e ripristino: traccia l'eliminazione di file o cartelle, insieme a eventuali ripristini.

Importante ricordare che l’accesso a questi report e il livello di dettaglio dei dati dipendono dalla licenza Microsoft 365 in uso. Per funzionalità avanzate o periodi di conservazione estesi, potrebbe essere necessaria una licenza Microsoft 365 E5 o un add-on per Microsoft Purview.

Importare e analizzare gli audit log di SharePoint in Excel

Infine, tramite PowerShell, si possono creare report personalizzati.

In questo modo, diventa possibile filtrare eventi specifici o combinare dati provenienti da più raccolte siti. Ad esempio, un'azienda potrebbe ricorrere all'integrazione con PowerShell per monitorare esclusivamente le attività relative a un progetto e gli accessi di utenti esterni a documenti sensibili.

Uno script PowerShell può inoltre automatizzare la creazione di un report settimanale che include solo gli eventi relativi alla modifica dei permessi su una raccolta siti, offrendo un’istantanea delle attività più importanti che sono state effettuate.

SharePoint Audit Log: come migliorano la sicurezza?

I log di controllo non sono solo uno strumento passivo che serve esclusivamente a registrare eventi, ma possono essere usati in modo proattivo per migliorare la sicurezza aziendale.

Facciamo un esempio pratico per capire meglio.

Se un utente accede a una raccolta siti al di fuori del consueto orario di lavoro, questo potrebbe segnalare un possibile attacco o un accesso compromesso. Analizzando i log, è quindi possibile adottare misure preventive come la disattivazione temporanea di un account o l’attivazione di verifiche aggiuntive.

La condivisione di documenti con utenti esterni è una pratica comune in molte aziende, ma comporta rischi significativi se non adeguatamente monitorata.

In questo caso, gli audit log permettono di tracciare quali file sono stati condivisi, con chi e quando. Un’organizzazione potrebbe così scoprire che un documento riservato è stato erroneamente condiviso con un utente non autorizzato, intervenendo immediatamente per revocare l’accesso.

In scenari più complessi, come la collaborazione con utenti esterni, i log possono essere usati per garantire che le policy aziendali siano rispettate, evitando fughe di dati o usi impropri.

A questo proposito, possiamo citare l’integrazione con Microsoft Sentinel, una piattaforma di gestione delle informazioni e degli eventi di sicurezza basata su cloud che consente di correlare i log di attività provenienti da diverse fonti per identificare e mitigare le principali minacce.

Con Sentinel, gli amministratori possono centralizzare i dati dei log, analizzarli con l’intelligenza artificiale e creare regole di automazione per rispondere in tempo reale agli incidenti.

Panoramica di Microsoft Sentinel

Best practice per l’uso degli audit log di SharePoint

Un uso corretto degli audit log non si limita alla configurazione tecnica, ma richiede un approccio strategico e proattivo tramite cui coinvolgere tutta l’organizzazione.

Ci sono alcune best practice che possono essere adottate: vediamole insieme.

Stabilire una policy di auditing chiara

Una policy di auditing è il punto di partenza per un monitoraggio efficace e dovrebbe includere i seguenti elementi:

• Tipi di eventi da monitorare: definire chiaramente quali attività devono essere tracciate, come modifiche ai documenti, accessi non autorizzati e condivisione di dati.
  
  
• Conservazione dei dati: stabilire per quanto tempo mantenere i log, tenendo conto delle normative applicabili (ad esempio, la conservazione per determinati periodi di tempo).
  
  
• Ruoli e responsabilità: identificare chi all’interno dell’organizzazione è responsabile dell’analisi dei log e della risposta agli eventi.
  

Creare nuove policy per la ritenzione dei dati raccolti dagli audit log

Coinvolgere team IT e di compliance

Il monitoraggio dei log di controllo non deve essere esclusiva del team IT, ma dovrebbe coinvolgere i team di compliance. Si potrebbe quindi creare un report mensile condiviso che evidenzi attività critiche come le modifiche alle autorizzazioni o gli accessi ai dati sensibili, così che i due team siano costantemente allineati su eventuali problemi e i relativi metodi di risoluzione adottati.

Formazione degli utenti

Se il proprio team è adeguatamente formato sui principali aspetti della sicurezza e sugli strumenti a disposizione per gestirla, tanto a livello personale come dell'intera organizzazione, siamo già a metà del lavoro.

Tutti gli utenti dovrebbero infatti essere consapevoli su come usare i log di controllo nel digital workplace aziendale. Adeguate sessioni di formazione sono spesso la via più semplice ed efficace per educare i colleghi sui rischi associati a comportamenti non conformi e mostrare come i log siano uno strumento per proteggere sia l’azienda che i suoi lavoratori.

Integrazione con altri strumenti di Microsoft 365

Molte aziende decidono di adottare soluzioni di terze parti per gestire logiche più complesse legate alla gestione della sicurezza. Di fatto, non sempre le funzionalità standard offerte da SharePoint sono ritenute sufficienti per poter analizzare e soprattutto reagire alle minacce.

Tuttavia, il nostro consiglio è di sfruttare appieno le licenze Microsoft della propria azienda per amplificare le possibilità di analisi, monitoraggio e governance senza sprecare investimenti in soluzioni fini a sé stesse e poco integrate nell'ecosistema Microsoft 365.

Condivisione dati con Power BI per visualizzazioni avanzate

Power Bi è uno strumento in grado di trasformare dati complessi in visualizzazioni intuitive. I dati raccolti dai log di SharePoint possono essere caricati in Power BI per ottenere report dinamici e dashboard personalizzate, che offrono analisi più approfondite rispetto le tabelle di Excel.

Facendo un esempio pratico, un responsabile IT può creare una dashboard che mostra in tempo reale le attività di accesso ai documenti sensibili, evidenziando anomalie come i tentativi di accesso in orari sospetti. I dati dei log possono poi servire per generare trend di utilizzo, identificando quali aree della piattaforma sono maggiormente visitate dagli utenti.

Panoramica delle visualizzazioni disponibili in Power BI

Utilizzo dei log per migliorare la governance di Teams e OneDrive

La governance di Microsft Teams e OneDrive è strettamente legata a SharePoint, poiché gran parte dei file e delle attività vengono gestiti attraverso questa piattaforma.

In questo caso, i log di controllo possono essere utilizzati per:

• Monitorare le condivisioni all’interno di Teams, identificando eventuali azioni non autorizzate o rischi per la sicurezza.
• Analizzare l’uso di OneDrive per garantire una gestione dei dati conforme alle politiche aziendali.

Servizi Microsoft monitorati attraverso gli audit log

Sinergia con Microsoft Defender for Office 365

Microsoft Defender for Office 365 offre una protezione avanzata contro minacce come phishing e malware. Integrando i dati dei log di SharePoint con questo strumento, è possibile:

• Correlare eventi registrati nei log con potenziali minacce identificate da Defender;
• Ricevere avvisi automatici quando attività sospette in SharePoint sono associate a comportamenti anomali segnalati da Defender.

Se Microsoft Defender rileva un tentativo di phishing che coinvolge un file in SharePoint, i log di controllo possono aiutare a determinare chi ha avuto accesso al file e quali azioni sono state intraprese, facilitando una risposta rapida e mirata.

Panoramica di Defender for Office 365

SharePoint Audit Log: un caso d'uso pratico

Dopo tanta teoria, abbiamo deciso di concludere questa guida spiegando come migliorare la sicurezza aziendale tramite gli audit log di SharePoint con un piccolo esempio pratico preso dall'esperienza che abbiamo avuto con un cliente.

Partiamo dal simulare di essere in un’azienda di medie dimensioni, con circa 500 dipendenti, dove SharePoint Online viene usato come piattaforma principale per la gestione dei documenti.

I responsabili IT decidono di configurare i log di controllo per monitorare:

• Accessi ai documenti riservati
• Modifiche ai permessi su raccolte siti
• Attività di condivisione con utenti esterni

Dopo aver attivato i log tramite il Compliance Center in Microsoft Purview, l’azienda implementa una dashboard Power BI che raccoglie e mostra le attività principali, evidenziando eventi anomali come accessi fuori orario o modifiche non autorizzate.

Dopo un’attività di controllo di sei mesi, l’azienda registra i seguenti risultati:

1. Grazie ai log di controllo, ogni attività sui documenti è tracciata, facilitando audit interni e garantendo la conformità.
   
   
2. I log aiutano a identificare un tentativo di accesso non autorizzato ai dati del reparto finanziario, permettendo di intervenire rapidamente e bloccare l’utente coinvolto.
   
   
3. La visualizzazione centralizzata delle attività riduce i tempi necessari per analizzare i dati e rispondere agli incidenti.
   
   

Ecco che, con pochi strumenti e un investimento minimo di risorse, qualunque azienda può facilmente rafforzare la propria postura di sicurezza.

Nel caso in cui però mancassero le competenze tecniche interne per usare al meglio la tecnologia Microsoft a disposizione, è sempre possibile ricorrere al supporto di consulenti, tra cui spiccano gli esperti del nostro team, certificati Microsoft Gold Partner e con decenni di esperienza nell'implementazione, gestione e personalizzazione del digital workplace basato su Microsoft 365.

Cos'è un audit log in SharePoint?

Un audit log, o log di controllo, è un registro che consente di monitorare tutte le attività compiute all’interno di una raccolta siti SharePoint. Serve a tracciare modifiche, accessi, condivisioni e cambiamenti nei permessi degli utenti, offrendo una visione dettagliata e trasparente delle interazioni nel digital workplace.

Come si configurano gli audit log in SharePoint Online?

In SharePoint Online, la registrazione delle attività è integrata nel Microsoft Purview Compliance Center. L’accesso ai log avviene tramite il portale di amministrazione Microsoft 365, nella sezione dedicata all’Audit, dove è possibile eseguire ricerche impostando parametri come date, utenti o file specifici.

Che tipo di attività vengono monitorate?

Gli audit log possono tracciare modifiche ed eliminazioni di documenti, modifiche ai permessi e agli account, ricerche effettuate dagli utenti e l’esecuzione di flussi di lavoro automatizzati. Ogni evento viene registrato con dettagli utili per l’analisi e la prevenzione dei rischi.

Come si analizzano i dati degli audit log?

I dati possono essere analizzati direttamente nel Compliance Center oppure esportati in Excel per ulteriori elaborazioni, come filtri e grafici. È anche possibile usare PowerShell per creare report personalizzati o Power BI per visualizzazioni interattive più avanzate.

Qual è il valore degli audit log per la sicurezza aziendale?

Gli audit log permettono di identificare attività anomale, accessi sospetti o condivisioni non autorizzate. Questi elementi sono fondamentali per prevenire violazioni, rispondere tempestivamente agli incidenti e garantire la conformità a normative come il GDPR o la ISO 27001.

Con quali strumenti Microsoft si integrano gli audit log?

I log di SharePoint sono integrabili con Microsoft Sentinel per la correlazione degli eventi, con Microsoft Defender for Office 365 per la protezione contro phishing e malware, e con Power BI per creare dashboard avanzate. Funzionano anche con Teams e OneDrive, che condividono la stessa infrastruttura documentale.

Per quanto tempo vengono conservati i log?

Il tempo di conservazione varia in base alla licenza Microsoft 365 in uso. Le funzionalità standard sono disponibili nelle licenze base, mentre quelle avanzate e i periodi prolungati richiedono una licenza E5 o add-on specifici per Microsoft Purview.

È possibile migliorare la governance di Teams e OneDrive tramite gli audit log?

Sì. I log possono essere usati per controllare la condivisione dei file in Teams e verificare l’uso corretto di OneDrive, contribuendo a mantenere la gestione dei dati in linea con le policy aziendali.

È necessaria una policy per l’uso degli audit log?

Una policy di auditing è altamente raccomandata. Deve definire le attività da monitorare, i tempi di conservazione dei dati e le responsabilità interne. Solo così è possibile gestire in modo efficace i log e garantire sicurezza e trasparenza.

Chi dovrebbe gestire e analizzare i log?

La responsabilità non è solo del team IT. È fondamentale coinvolgere anche il team di compliance, così da garantire un’analisi condivisa e una risposta coordinata agli eventi critici. La produzione di report periodici aiuta a mantenere alta l’attenzione su eventuali anomalie.