magnify
Home 3. Party Exchange Server Auditing with Lepide Auditor Suite – Exchange Server Yönetici Değişikliklerini Takip Etme
formats

Exchange Server Auditing with Lepide Auditor Suite – Exchange Server Yönetici Değişikliklerini Takip Etme

Exchange Server şirket organizasyonları içerisinde en çok değişiklik gerçekleştirdiğimiz alt yapı ürünlerinin başında yer almaktadır. Organizasyon konfigürasyonu olarak geçen ve genellikle kurulum sonrasında yapılan ayarları nadir olarak yapılan güncellemelerin izlediği değişikliklerin dışında gündelik hayatta özellikle kullanıcı posta kutusu ile ilgili pek çok değişiklik yapılmaktadır. Gerek organizasyon, gerek sunucu veya kullanıcı değişiklikleri gündelik iş akışımızı etkilediği için son derece dikkatli ve kontrollü bir şekilde gerçekleştirilmelidir. Kimi zaman ise bu değişiklikler organizasyon seviyesinde kesintilere veya bilgi çalınmasına neden olabilmektedir. Bu nedenle şirketin en üst düzey yöneticisinden en temel personeline kadar herkesin mail bilgisinin saklandığı bu platform üzerindeki değişikliklerin düzenli olarak izlenmesi gerekmektedir. Microsoft bu konuda hali hazırda bir takım özellikler sunmaktadır. Bu konuda daha fazla bilgi için aşağıdaki makaleleri inceleyebilirsiniz.

Exchange Server Admin Audit Log – Deep Dive

Exchange Server 2013 Mailbox Audit Logging

Benim amacım ise, bu izleme işini son derece kolay bir hale getiren ve hatta özel raporlar, kritik değişikliklerin olması durumunda size mail veya benzeri bilgilendirme yapılmasının sağlanması başta olmak üzere pek çok yönetimsel kolaylık sağlayan ( Exchange Server üzerinden alamadığınız pek çok ek rapor içermektedir) Lepide Auditor Suite programı ile bunu işi nasıl kolay bir şekilde gerçekleştireceğinizi görmektir.

Lepide Auditor Suite ürünü kurulumu hakkında aşağıdaki makalemi inceleyebilirsiniz

https://www.cozumpark.com/blogs/3party/archive/2016/06/12/lepide-auditor-suite-active-directory-gpo-exchange-server-auditing-kurulum.aspx

Eğer kurulumu başarılı bir şekilde gerçekleştirdiyseniz Exchange Server tarafındaki değişiklikleri incelemeye başlayabilirsiniz.

Lepide Auditor Suite programını ana konsolunu açıp kısa bir süre bekledikten sonra aşağıdaki gibi ortamınız hakkında özet bilgiler alabilirsiniz

Detayları görmek için bu ekranların üzerindeki linklere tıklayabilirsiniz veya yine rapor bölümüne geçebilirsiniz.

Audit raporları temel olarak iki bölümden oluşmaktadır.

Exchange Modification Reports – Exchange server üzerindeki tüm değişikliklerin takip edildiği bölümdür.

Auditing – Posta kutuları seviyesinde kullanıcı, delege edilen yetkili kullanıcı ( özel kalem, asistan vb) ve yönetici hareketlerini raporlayabiliriz.

İlk bölüm adında da anlaşılacağı gibi kim Exchange Server üzerinde neler yapmış onu hızlı bir şekilde görebileceğimiz bir bölüm. Eğer nokta atışı bir değişiklik görmek istiyorsanız örneğin Adres defterinde kim değişiklik yapmış gibi bu durumda “Address Book Modifications” bölümüne gelip bir rapor çekebilirsiniz.

Bu değişikliklerin kimin tarafından ne zaman ve ne şekilde bir değişiklik yapıldığını detaylı bir şekilde görebilirsiniz. Kullanılan komutları, eski ve yeni değerleri görmek için her bir değişikliğin üzerine çit tıklayabilir veya ekranın sağ bölümündeki ön izleme penceresini kullanabilirsiniz. Bu pencereyi isterseniz ekranın alt bölümüne de alabilirsiniz. Ben alışkanlık olarak çift tıklayarak açılan yeni pencerede tüm detayları görmeyi tercih ediyorum.

Eğer Exchange Server üzerindeki tüm değişiklikleri görmek istiyorsanız “All Modifications in Exchange Server” bölümüne tıklayabilirsiniz. Daha sonra sağ bölümde yer alan filtreleri kullanıp istediğiniz bir zaman, kişi, değişiklik vb seçim yapıp sağ bölümden raporu oluştur (Generate Report) demeniz yeterli;

Böyle bir rapordaki en kullanışlı alan tüm sütunların istediği gibi yer değiştirmesi ve kolay bir şekilde süzülmesi. Örneğin bana gelen bu 1500 değişiklik içerisinde ben sadece silme operasyonlarını getir demek için “Operation” bölümüne delete yazmam yeterli olacaktır

Yani son derece hızlı ve dinamik bir filtreleme özelliğine sahiptir.

Tek tek tüm raporların üzerinden geçmek ciddi bir zaman ama bu birkaç örnek ile aslında Exchange Server üzerinde yapılan tüm hareketleri merkezi bir noktadan son derece kolay bir şekilde raporlayabileceğinizi görmüş olduk. Rapor bölümünde aşağıdaki gibi pek çok farklı raporu yine yukarıdaki gibi istediğiniz zaman dilimi ve filtrelere göre alabilirsiniz;

Yine ürün ile gelen ve en çok aslında merak edilen konulardan biriside kim benim posta kutuma erişmiş veya neler yapmış, yada kim benim posta kutuma erişim için yetki vermiş. Önce hızlı bir şekilde bu yetkilendirmeyi görelim.

Bildiğiniz gibi Exchange Server üzerinde yönetici haklarına sahip olan bir kullanıcı herhangi bir posta kutusuna full erişim hakkını kendine veya istediği bir kullanıcıya verebilir, böyle bir durum ise lepide raporlarına aşağıdaki gibi yansıyacaktır;

Bunun isterseniz hızlı bir şekilde Alert olarak tanımlayabilirsiniz, bu sayede böyle bir değişiklik olduğu zaman aşağıdaki gibi size bir bilgilendirme mali gelecektir;

Sistemin mail attığını yine Alert ekranından görebiliyoruz

Gelen mail ise aşağıdaki gibidir;

Not: Alert oluşturmayı aşağıdaki makalemde detaylı anlatmıştım, eğer ilgilenirseniz buradan takip edebilirsiniz.

https://www.cozumpark.com/blogs/3party/archive/2016/06/12/lepide-auditor-suite-ile-active-directory-auditing-active-directory-degisiklik-izleme.aspx

Peki bu yetki bir şekilde verilmiş yada verilmesi gerekiyor ( örneğin özel kalem veya sekreteri için üst düzey yöneticiler genellikle ajanda başta olmak üzere bazı klasörleri paylaşırlar) ise bundan sonraki hareketlerinde izlenmesi gerekebilir. Yaşanmış gerçek bir hikâye;

Üst düzey bir yöneticinin özel kalemi kritik toplantılardan birini yanlışlıkla ajandasından siliyor, daha sonra buraya yine önemli bir toplantı isteği alıyor, aynı gün aynı saatte iki önemli misafiri gelen üst düzey yönetici ise çok zor durumda kalıyor ve anında IT yi arayıp bunun nasıl olabileceğini soruyor. IT takımında bu konularda tecrübeli bir uzman olduğu için bu tür paylaşımda bulunan posta kutuları için Audit özelliğini açmıştı, yani varsayılan olarak Admin Audit açık gelir ancak Mailbox Audit yani posta kutusu seviyesindeki değişiklikler izlenmez. Çünkü bunlar mevcut pota kutularına ek disk boyutu olarak yük getirir. Genel olarak buradaki politika yukarıdaki örnekte olduğu için hali hazırda paylaşımlı posta kutusu kullanan kullanıcılar, üst düzey kullanıcılar, kritik öneme sahip ve yine ortak kullanılan posta kutularında açılması gereklidir. Uzun lafın kısası Mailbox Audit bu üst düzey yöneticide açık olduğu için anında özel kalemi tarafından yapılan bu silme işlemini raporluyorlar.

Tabiki Exchange üzerinden bunu raporlamak bir hayli zor olabiliyor, ancak Lepide üzerinden bunun için aşağıda gördüğünüz gibi 3 ayrı hazır rapor bulunmaktadır;

Owner bölümünde, eğer ilgili posta kutusu için Audit açılırken kullanıcının kendi hareketleri de izlensin diye ayar yapılmış ise kendi hareketlerinin dökümünü aldığımız bölümdür.

Delegated Users ise yine yukarıdaki örnekte olduğu için yetki verilmiş kullanıcı tarafından ilgili posta kutusu üzerindeki değişikliklerin raporunu aldığımız bölümdür.

Administrators ise yönetici olarak full erişim hakkı aldığımı ilgili posta kutusu üzerinde yaptığımız değişiklerin raporunu verir.

Non Owner bir kavram olup, Owner dışındaki tüm erişimleri tek bir raporda görmek için kullanılır.

Ancak hali hazırda bu raporları alamayabilirsiniz, çünkü yine makalemde de bahsettiğim gibi bu özellik varsayılan olarak açık değildir. İsterseniz bunu aşağıdaki makalede olduğu gibi Exchange Server üzerinden kendiniz kullanıcı bazlı açabilirsiniz

Exchange Server 2013 Mailbox Audit Logging

Yada Lepide bunun sizin yerinize yapacaktır. Lepide ile yapmak için öncelikle konsol üzerinde sol tarafta yer alan menüden settings bölümüne geliyoruz.

Burada eklediğiniz domain üzerine sağ tıklayarak özellikler penceresini açınız

Daha sonra Advanced Domain Configuration linkine tıklayınız

Burada sağ üst köşedeki “Non-owner Mailbox Auditing” kutucuğunu işaretlemeniz gereklidir. Daha sonra hemen yanındaki anahtar sembolüne tıklayınız.

Not: bu raporu alabilmek için Lepide Auditor Suite ürününün ajanlı kurulması gereklidir.

Açılan menüden istediğiniz posta kutularını seçiyorsunuz, bir sonraki ekranda ise bu kullanıcılar için hangi izleme özelliklerini aktif edeceğinizi seçiyorsunuz.

Bu bölümün detayları için ÇözümPark üzerindeki makaleyi incelemenizi öneririm.

Son olarak yapacağı değişikliği sizler ile paylaşıyor ve onaylıyoruz.

Artık mailbox erişim loglarını görebiliriz. Hemen hızlıca birkaç tanesini inceleyelim

Not: bu özellik açıldıktan sonra birkaç saat beklemeniz gerekmekte olup bu Exchange server mimarisi ile ilgili bir gereksinimdir.

Yukarıda gördüğünüz gibi sistemde bir arşivleme yazılımı olan Enterprise Vault tarafından posta kutusunda yapılan tüm değişiklikleri görebiliyoruz.

Dikkatinizi çekmek istediğim önemli bir bölüm var, malum makalenin bu bölümüne kadar hep değişiklik izleme konusuna odaklandık ancak ISO 270001 gibi regülasyonlara tabi olan kurumlar için genel AD ve Exchange Server organizasyonlarının bir takım güvenlik standartlarına göre ne kadar uygun olduğunu da raporlayabiliyoruz. ( Satın aldığınız lisansa göre AD, Exchange, File Server vb )

Yani hemen rapor aldığımız menüde alt bölümde Audit yerine örneğin “Compliance Reports” bölümüne tıklayarak bu konuda Dünya standartlarını belirleyen kurumların raporlarına erişebilirsiniz;

İsterseniz bu standartlara göre rapor alabilir isterseniz hepsi için ortak raporları çekebilirsiniz

Aslında ürünün en değerli bölümlerinden biriside bu alandır, tabi ki bunu kullanan ve ihtiyaç duyan firmalar için.

Bir diğer bölüm ise izinler üzerindeki değişikliklerin karşılaştırıldığı “Permission Analysis” bölümüdür.

Bu bölümde File Server, Exchange Server veya Active Directory üzerindeki objeler üzerinde yapılan izin değişikliklerini görüntüleyebilir ve yine onları karşılaştırabilirsiniz.

Son 24 saat içerisinde “Herkes” isimli bir grup üzerinde izin değişikliği yapılmış, bu izinleri ise alt menüden görüntüleyebiliyoruz

Mavi olan izinler hali hazırda yukarıdan gelen yani varsayılan izinler olmasına karşın Admin bu grup için siyah ile işaretli olan kullanıcılara yetki vermiştir. Aslında bu yetkiyi en üstteki Hakan Uzuner kullanıcısına vermiş, diğerleri varsayılan ACL listesidir.

Eğer ürün ile beraber gelen AD backup özelliğini de ayarlarsanız istediğiniz aralıklar ile AD’ nin yapılandırma bilgisini yedeklediği için aşağıdaki gibi izinleri bu yedeklere göre karşılaştırma da yapabilirsiniz

Not: bende hiç yedek olmadığı için şu anda karşılaştırma yapamıyorum.

Eğer yedeğiniz var ise aşağıdaki gibi silinen objeleri de geri getirebilirsiniz

Audit özelliğinin yanında yine AD için sunduğu sağlık izleme hizmetini de ücretsiz olarak sunmaktadır. Yani temel anlamda Exchange sunucularınız için CPU, RAM kullanımı, erişilebilirlik raporu, servislerin durumu, alınan gönderilen mailler, erişim gecikmeleri, kritik loglar gibi bilgileri aşağıdaki gibi görüntüleyebiliyorsunuz.

Ürün hakkında aslında yazılacak çok fazla özellik var ancak diğer özellikleri de sizlere bırakıyorum, hızlı bir şekilde aşağıdaki adres üzerinden trial olarak ürünü indirebilir ve 15 gün boyunca kullanmaya başlayabilirsiniz.

http://www.lepide.com/audittrial/

Umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek üzere.

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
Exchange Server Auditing with Lepide Auditor Suite – Exchange Server Yönetici Değişikliklerini Takip Etme için yorumlar kapalı  comments 
© Hakan Uzuner
credit