Microsoft Office 365 wird in einem Hauptrechenzentrum und einem Backuprechenzentrum betrieben und in der Globalen Cloud kommt noch ein drittes Rechenzentrum für die Azure AD hinzu. Nun nutze ich seit einigen Tagen die Microsoft Cloud App Security intensiver und verfolge die Prozesse in meinem Testtenant genauer. Dabei ist mir folgendes aufgefallen:
Ich weiß, was Microsoft in den letzten Minuten getan hat!
Schaut euch einmal folgenden Screenshot aus dem Aktivitätsprotokoll meines Nutzers an sieht man einige interessante Informationen. Ich habe die wichtigen Stellen einmal gelb hervorgehoben:
Der Screenshot zeigt einen Zugriff auf mein OneNote Buch in dem ich vorher korrekt dokumentiert Änderungen gemacht habe. Nun kommt ein Zugriff aus den Niederlanden hinzu. Dies erschrank mich in einem ersten Schritt, da es auch vermehrt Zugriffe aus den Niederlanden und aus Irland gab.
Ich schaue mir den Auszug also etwas genauer an:
Gerätetyp: “onenotemodernsyncpagecontentsyncpatch”
Also der OneNote Syncronisationskreislauf greift auf meine Mappe zu und dies aus Holland. Die hier schwarze IP Adresse zeigt nach Redmond, aber mit etwas Wissen und der Bemühung der Suchmaschine, findet man heraus, dass es auf das niederländische Microsoft RZ zeigt.
Das RZ in den Niederlanden ist mein Hauptrechenzentrum, in der Nähe von Amsterdam und wird durch Windenergie gespeist.
Mein Protokoll wechselt also immer über längere Sicht von Deutschland zu den Niederlanden, natürlich mit dem OneNote Sync. Es wird also Microsoft Azure genutzt und der ISP (Internet-Service-Provider) ist Microsoft, das sagt mir, dass es durch das globale Microsoft Netz geleitet wurde und nicht durch das offene Internet.
Dann finde ich noch mehrere Male “Irland”:
Ich habe diesmal extra nicht wieder OneNote genutzt, sondern eine Verarbeitung von einem neuen Excel-Dokument genutzt. Dies habe ich neu erstellt und in einer Microsoft Teams Gruppe abgelegt, die wiederum ihren Dateispeicherort in einer SharePoint Site hat.
Hier sehen wir also einen ähnlichen Kreislauf, jedoch auch Unterschiede. Hierbei handelt es sich um einen reinen Azure Dienst aus Irland und der Gerätetyp ist nicht mehr der Sync-Prozess, sondern ein PC mit Windows und einer Microsoft Web Application mit namen MSWAC.
Ein Mitarbeiter von Microsoft schreib dies in MS Answer “Der MSWAC-Benutzeragent bezieht sich auf Office Online. Das mögliche Szenario besteht darin, dass Benutzer Office Online-Services verwenden, um auf ihre Dateien zuzugreifen.” (genauere Infos aus dem detaillierten Auditlog)
Damit ist klar, dass Microsoft mit dem MSWAC Benutzeragent und den Office Online-Services (Excel Online in Teams) auf meinen SharePoint zugegriffen hat und die Excel-Datei erstellt hat. Dies passierte in Dublin und nicht in den Niederlanden.
Zusammenfassung
Die Microsoft Cloud App Security ist eine äußerst nützliches Werkzeug, welches euch tiefere Einblicke in euren Microsoft Tenant bietet. Es ist möglich darauf hin Alarme oder auch automatisierte Emails zu verschicken, damit Administratoren schneller gewarnt werden.
Also testet MCAS und prüft eure Umgebung!