Prohlídka produktu

cs
- English

Dokumentace › How Tos

Jak investigovat podezřelé přihlášení do Office 365

Napsal: Luboš Lunter

Aktualizováno: 27.05.2026 3 min čtení how-to

Office 365 dashboard in Logmanager with suspicious login

Podezřelá přihlášení do cloudových služeb málokdy existují izolovaně. Následující návod je užitečný, protože ukazuje, jak přejít z Office 365 alertu k širší aktivitě v on-premises prostředí i napříč dalšími systémy. Díky tomu lze snadněji určit, zda je událost neškodná, souvisí s uživatelem, nebo je součástí závažnější kompromitace.

Pokud preferujete video návod, je k dispozici níže (pouze EN):

1. Začněte na dashboardu Office 365

Otevřete dashboard Office 365 a filtrujte alerty označené tagem notified. Poté otevřete konkrétní logový záznam spojený s podezřelým přihlášením. Tím získáte uživatelské jméno a zdrojovou IP adresu potřebnou pro další kroky.

Office 365 overview dashboard in Logmanager showing the suspicious login alert details — Obr. 1: Dashboard Office 365 v Logmanageru zobrazující detaily alertu podezřelého přihlášení.

2. Zaměřte se na IP adresu

Vyfiltrujte veškerou aktivitu ze zdrojové podezřelé IP adresy a odstraňte filtry, které omezují zobrazení pouze na alertované události. To umožní zobrazit širší kontext, včetně aktivit, které samy o sobě alert nespustily.

3. Zkontrolujte související uživatele

Pokud je stejná zdrojová IP adresa spojena s více než jedním uživatelským jménem, prověřte všechny související účty. V uvedeném příkladu jeden z uživatelů smazal velké množství souborů, což okamžitě zvyšuje závažnost incidentu.

Investigation in Logmanager showing the suspicious IP associated with multiple Office 365 usernames — Obr. 2: Vyšetřování v Logmanageru zobrazující podezřelou IP adresu spojenou s více uživatelskými jmény v Office 365.

4. Přesuňte se do širšího prostředí

Zkopírujte podezřelé uživatelské jméno a přepněte se na obecný dashboard přehledu logů. Zkontrolujte všechny související akce v dalších systémech, včetně Windows. Hledejte vytvoření účtu, reset hesla, povolení účtu nebo přidání uživatelů do skupin, protože tyto aktivity mohou naznačovat eskalaci oprávnění nebo zajištění persistence.

Suspicious login investigation in Logmanager showing file deletion activity or broader cross-system actions — Obr. 3: Vyšetřování podezřelého přihlášení v Logmanageru zobrazující mazání souborů nebo širší akce napříč systémy.

Windows or cross-system activity in Logmanager showing account creation password reset or group changes after suspicious login — Obr. 4: Aktivita ve Windows nebo napříč systémy v Logmanageru zobrazující vytvoření účtu, reset hesla nebo skupinové změny po podezřelém přihlášení.

Pro více informací o nastavení příjmu logů z Microsoft cloudu navštivte Logmanager Office 365 dokumentaci.

Obsah

1. Začněte na dashboardu Office 365 2. Zaměřte se na IP adresu 3. Zkontrolujte související uživatele 4. Přesuňte se do širšího prostředí

Související články

alert rule configuration in Logmanager UI

Kontextový alert pro identifikaci zdroje brute force útoku na firewall

Stáhněte si šablonu kontextového alertu.

Wallix PAM parser pro Logmanager

Parser pro Wallix PAM / Bastion

Stáhněte si parser pro Wallix PAM (Privileged Access Management).

Logmanager backup configuration on an SMB server

Jak nastavit zálohování Logmanageru na SMB serveru

Zálohy patří mezi nejdůležitější součásti každého nasazení Logmanageru. Pomáhají chránit konfiguraci, uchovávat historická data a výrazně

Fortinet FortiGate configuration to send logs into Logmanager

Jak propojit FortiGate firewall s Logmanagerem

Centralizujte síťové události, bezpečnostní logy a provozní aktivity z FortiGate firewallu.

Získejte nejnovější informace o cybersecurity do své e-mailové schránky.