Отчёт активности OneDrive — как получить и анализировать

Вкладка OneDrive и корпоративное облачное хранилище

Краткое определение

OneDrive — облачное хранилище Microsoft для рабочих и учебных аккаунтов. Отчёт об активности пользователей OneDrive показывает, кто, когда и какие операции выполнял с файлами и папками (просмотр, редактирование, совместный доступ и т.д.).

Почему важен отчёт об активности OneDrive

Контроль использования хранения и планирование квот.
Обнаружение риска утечек через внешние ссылки и приглашения.
Проверка соблюдения политик доступа и аудита действий пользователей.
Трекинг инцидентов безопасности и подготовка доказательной базы.

Важно: журнал активности содержит как внутренние, так и внешние действия. Внутренние — пользователи вашей подписки Microsoft 365; внешние — приглашённые или анонимные пользователи.

Что записывается в отчёте об активности пользователей OneDrive

Ниже — перевод и краткое пояснение основных типов событий, которые обычно доступны в журнале.

События совместной работы

AccessInvitationAccepted — пользователь принял приглашение внешнего пользователя.
AccessInvitationCreated — приглашение внешнему пользователю создано.
AccessInvitationExpired — приглашение истекло (обычно автоматически через 7 дней, если не принято).
AccessInvitationRevoked — приглашение внешнего пользователя отозвано.
AccessInvitationUpdated — приглашение внешнего пользователя обновлено.
AccessRequestApproved — запрос внутреннего пользователя на доступ одобрен.
AccessRequestCreated — внутренний пользователь запросил доступ к файлу/папке.
AccessRequestExpired — запрос на доступ истёк (обычно через 7 дней).
AccessRequestRejected — запрос на доступ отклонён.

Доступ и управление файлами

FileCheckedIn — файл возвращён из состояния «занят» (check-in).
FileCheckedOut — файл взят на редактирование (check-out), что блокирует изменения других.
FileCheckedOutDiscarded — блокировка на файле снята без сохранения изменений.
FileCopied — создана копия файла в библиотеке документов.
FileDeleted — файл удалён из OneDrive для бизнеса.
FileDownloaded — пользователь скачал копию файла на локальный диск.
FileModified — файл сохранён или автоматически сохранён.
FileMoved — файл перемещён в другую папку внутри библиотеки.
FileRenamed — файл переименован.
FileRestored — файл восстановлен из корзины сайта.
FileUploaded — файл загружен в библиотеку документов.
FileViewed — файл просматривался через приложения Office Online.

Совместный доступ к файлам

SharedLinkCreated — создан просмотрный или правка-ссылка.
SharedLinkDisabled — ранее созданная ссылка отключена и больше не работает.
SharingRevoked — права доступа к файлу/папке отозваны для конкретного пользователя.
SharingSet — созданы или обновлены права доступа.

Как получить отчёт об активности пользователей OneDrive

Ниже — проверенные способы: встроенный отчёт в админ‑центре Microsoft 365 и специализированные инструменты.

1. Через административный центр Microsoft 365

Войдите в Microsoft 365 с учётной записью администратора.
Откройте административный центр.
В левой панели выберите Reports.
Нажмите Usage.
Нажмите Choose Columns, чтобы добавить или убрать столбцы. Доступные поля:
- URL
- Deleted
- Owner
- Owner principal name
- Last activity date (UTC)
- Files
- Active files
- Storage used (MB)
Нажмите Export, чтобы получить CSV‑файл.

Примечание: встроенный отчёт покрывает временные интервалы 7, 30, 90 и 180 дней. Это удобно для общей картины, но не покрывает произвольные периоды за годы.

2. С помощью специализированного инструмента (пример: ManageEngine M365 Manager Plus)

Для детального, гибкого и настраиваемого анализа логов удобно использовать сторонние решения.

Скачайте ManageEngine M365 Manager Plus.
Установите программу.
Запустите M365 Manager Plus.
Нажмите вкладку Reports.
В левой панели выберите Other Services.
Выберите OneDrive for Business Reports.
Нажмите ссылку OneDrive Usage Reports.
Выберите нужный отчёт из списка.
Укажите Microsoft 365 Tenant, для которого нужно сформировать отчёт.
В выпадающем списке Period выберите временной интервал.
Отчёт будет сгенерирован и представлен с графиками и метриками.

Почему сторонний инструмент может быть лучше:

Гибкая фильтрация по произвольным датам.
Наглядные графики и экспорт множеством форматов.
Конкретные отчёты для аудиторов и команд безопасности.
Возможность автоматической архивации и передачи в SIEM.

Читать также:

OneDrive search broken for some users across platforms
OneDrive for Mac now supports syncing to APFS-formatted removable drives

Альтернативные подходы и дополнительные методы

Если вам нужно больше гибкости, рассмотрите следующие варианты.

PowerShell — быстрый доступ к объединённому журналу аудита

Для поиска по объединённому журналу аудита (Unified Audit Log) можно использовать PowerShell (Exchange Online Management). Пример запроса:

Connect-ExchangeOnline -UserPrincipalName admin@contoso.com
Search-UnifiedAuditLog -StartDate "2025-01-01" -EndDate "2025-01-31" -RecordType SharePoint -ResultSize 5000 | Export-Csv "C:\reports\onedrive-jan-2025.csv" -NoTypeInformation

Объяснение: RecordType SharePoint включает события, связанные с SharePoint и OneDrive. ResultSize ограничивает количество записей.

Важно: для использования команд требуется соответствующая роль и включённый аудит в Microsoft 365.

Microsoft Graph и Management Activity API

Microsoft Graph и Office 365 Management Activity API позволяют программно получать события аудита и интегрировать их в собственные аналитические системы.
Этот путь полезен для автоматизации ETL в SIEM и построения кастомных дашбордов.

Экспорт в SIEM

Экспортируйте логи в SIEM (Splunk, Elastic, Azure Sentinel). Это даёт централизованный поиск, корреляцию и оповещения.
Сопровождайте экспорт нормализацией полей (userPrincipalName, ipAddress, activity) и метаданными площадки.

Когда стандартные отчёты не подходят

Нужен полный исторический архив за годы (встроенные отчёты ограничены до 180 дней).
Требуется корреляция OneDrive‑событий с сетевой активностью и аутентификацией для расследования инцидентов.
Необходимо настроить кастомные оповещения на специфические операции (например, массовые скачивания).

В таких случаях выбирайте PowerShell + хранение самих логов или специализированный инструмент с интеграцией в SIEM.

Мини‑методология: как организовать аудит OneDrive за 30 дней

Определите цели аудита (безопасность, соответствие, оптимизация хранилища).
Согласуйте период и объём данных.
Включите или проверьте включение Unified Audit Log.
Соберите исходные отчёты (админ‑центр, PowerShell, API, сторонний инструмент).
Нормализуйте данные и сохраните контрольные точки.
Проведите анализ: поиск аномалий, массовых скачиваний, внешних приглашений.
Подготовьте отчёт с рекомендациями и планом мероприятий.
Настройте автоматизацию оповещений и регулярных экспортов.

Роль‑ориентированные чек-листы

Ниже — упрощённые чек-листы для трёх ключевых ролей.

Для ИТ‑администратора

Убедиться, что аудит включён и покрывает RecordType SharePoint.
Настроить регулярный экспорт логов (ежедневно или еженедельно).
Настроить ротацию и хранение экспортов (архивация).
Обеспечить доступность CSV/JSON для команд безопасности.

Для специалиста по безопасности

Настроить оповещения на массовые скачивания, создание внешних ссылок и массовые приглашения.
Коррелировать события OneDrive с логами входа и сетевыми событиями.
Проводить расследование инцидентов с использованием временных меток и IP.

Для менеджера по соответствию

Проверять отчёты на соответствие политик совместного доступа.
Подготавливать выборочные доказательства для аудита.
Утверждать политики хранения и удаления данных.

SOP: получить отчёт OneDrive за произвольный период (пошагово)

Цель: получить CSV‑отчёт всех действий пользователей OneDrive за период.

Проверить права администратора и включённость Unified Audit Log.
Выбрать метод: встроенный отчёт (короткие периоды) или PowerShell/API/инструмент (произвольные периоды).
Если PowerShell: подключиться к Exchange Online.
Выполнить Search-UnifiedAuditLog с параметрами StartDate и EndDate и RecordType SharePoint.
Экспортировать результат в CSV.
Нормализовать поля (timestamp в UTC, userPrincipalName, operation, objectId, clientIP).
Загрузить CSV в аналитическую систему или открыть в Excel/LibreOffice для анализа.
Сохранить копию и зафиксировать контрольные суммы файлов для цепочки доказательств.

Критерии приёмки

CSV содержит все записи за период между StartDate и EndDate.
Для каждой записи есть временная метка в UTC и идентификатор пользователя.
Записи содержат тип операции (operation) и объект (objectId или URL).
Отчёт валидирован и открыт в аналитическом инструменте без ошибок кодировки.

Тесты и сценарии приёмки

Сценарий: пользователь создал внешнюю ссылку. Ожидается запись SharedLinkCreated с userPrincipalName и objectId.
Сценарий: файл скачан одновременно 100 раз. Ожидается массовый набор FileDownloaded с разными clientIP.
Сценарий: приглашение истекло. Ожидается AccessInvitationExpired через 7 дней после создания.

Incident runbook: реакция на подозрительные массовые скачивания

Получить список FileDownloaded за последний час по фильтру по объекту или пользователю.
Идентифицировать clientIP и userAgent.
Сопоставить userPrincipalName с логами входа (sign-in logs).
При подтверждённом компромиссе — отозвать сессии, сбросить пароли, приостановить учётную запись.
Отозвать внешние ссылки на затронутые файлы.
Подготовить отчёт с временной линией и рекомендациями.
При необходимости — эскалировать к юридическому отделу.

Миграция логов и интеграция с SIEM: практические советы

Нормализуйте поля: замените локальные имена полей на стандартизированные (timestamp, actor, action, resource, sourceIp).
Установите ретеншн‑политику: сколько храните оригинальные CSV и сколько — агрегаты.
Используйте подписку API или коннектор на стороне SIEM для автоматического приёма новых событий.

Конфиденциальность и соответствие (GDPR и локальные требования)

Логи содержат персональные данные (имена пользователей, IP). Применяйте принцип минимизации и ротацию.
Ограничьте доступ к сырьевым логам и используйте аудит доступа к самим логам.
При передаче в облачные SIEM проверяйте соглашения о передаче данных и местонахождение хранения.

Важно: храните метаданные и журналы в соответствии с политиками организации и локальными законами о защите данных.

Модель зрелости процесса аудита OneDrive (высокоуровнево)

Нулевая зрелость: аудит отключён или используется только встроенный отчёт.
Базовый уровень: аудит включён, ежемесячные отчёты из админ‑центра.
Средний уровень: автоматический экспорт логов, базовые оповещения в SIEM.
Продвинутый уровень: полная корреляция с SIEM, автоматические playbook для инцидентов, ретроспективный анализ.

Когда выбирать ManageEngine или похожие продукты

Нужны готовые отчёты для менеджмента и аудиторов.
Требуется хранение и визуализация исторических данных за годы.
Необходимо быстро создавать отчёты по ролям и автоматизировать оповещения.

⇒ Получение специальных отчётов часто экономит время и снижает риск ошибок при ручном анализе.

Решающее дерево: как выбрать метод получения отчёта

flowchart TD
  A[Нужен отчёт OneDrive?] --> B{Период и глубина анализа}
  B --> |Короткий период '<=180 дней'| C[Использовать админ-центр]
  B --> |Произвольный период или большой объём| D[PowerShell или API]
  B --> |Требуется визуализация и автоматизация| E[Специализированный инструмент / SIEM]
  D --> F[Search-UnifiedAuditLog + экспорт]
  E --> G[ManageEngine / SIEM коннектор]
  C --> H[Export CSV из админ-центра]

Шаблон рекомендаций после аудита (короткий)

Отключить или ограничить внешние ссылки там, где это не требуется.
Обновить политики совместного доступа и ротацию приглашений.
Включить регулярный экспорт логов и интеграцию с SIEM.
Настроить оповещения на массовые скачивания и массовые изменения прав.

Глоссарий (1 строка каждое)

Unified Audit Log — объединённый журнал аудита в Microsoft 365, содержащий события SharePoint/OneDrive и других сервисов.
userPrincipalName — уникальный идентификатор пользователя в Microsoft 365 (обычно email).
SIEM — платформа для корреляции и анализа логов безопасности.

Краткое объявление для команды (100–200 слов)

Мы вводим регулярный аудит активности OneDrive: с этого месяца логи будут автоматически экспортироваться и анализироваться. Это позволит быстрее выявлять аномалии, контролировать внешние ссылки и доказывать соответствие требованиям. Команды безопасности и соответствия получат доступ к агрегированным отчётам. ИТ‑администраторы настроят автоматический экспорт. Если у вас есть проекты с повышенными требованиями к конфиденциальности, сообщите нам для настройки исключений.

Социальный превью

OG Заголовок: Отчёт активности OneDrive — руководство для ИТ и безопасности OG Описание: Как получить отчёт OneDrive, собрать логи и настроить оповещения для обнаружения утечек и расследования инцидентов.

Итог

Отчёт об активности пользователей OneDrive — ключевой инструмент для контроля доступа, расследований и оптимизации хранилища. Для быстрого обзора используйте админ‑центр; для произвольных периодов, глубокой аналитики и интеграции с SIEM — PowerShell, API или специализированные решения. Настройте процессы, роли и автоматизацию, чтобы журнал работал на безопасность и соответствие вашей организации.

Отчёт об активности пользователей OneDrive: как получить, анализировать и действовать