Audit de Microsoft Purview (Premium)

Conseil

Saviez-vous que vous pouvez essayer les versions Premium des neuf solutions Microsoft Purview gratuitement ? Utilisez la version d’évaluation des solutions Purview de 90 jours pour découvrir comment des fonctionnalités Purview robustes peuvent aider votre organisation à répondre à ses besoins de conformité. Microsoft 365 E3 et Office 365 E3 clients peuvent être démarrés maintenant sur le Hub d’essais du portail de conformité Microsoft Purview. Découvrez plus d’informations sur les personnes qui peuvent s’inscrire et les conditions de la version d’évaluation.

La fonctionnalité d'Audit de Microsoft Purview offre aux organisations une visibilité dans de nombreux types d’activités auditées dans différents services de Microsoft 365. L’audit de Microsoft Purview (Premium) permet aux organisations d’effectuer des enquêtes de conformité et d’investigation en augmentant la rétention des journaux d’audit requis pour mener une enquête, en fournissant l’accès aux événements essentiels (à l’aide de la recherche dans les journaux d’audit dans le portail de conformité Microsoft Purview et l’API Activité de gestion Office 365) qui permettent de déterminer l’étendue de la compromission et un accès plus rapide à l’API Activité de gestion Office 365.

Notes

Audit (Premium) est disponible pour les organisations disposant d’un abonnement Office 365 E5/A5/G5 ou Microsoft 365 Entreprise E5/A5/G5. Une licence du module complémentaire de conformité Microsoft 365 E5/A5/G5 ou d'eDiscovery et d'Audit E5/A5/G5 doit être attribuée aux utilisateurs pour les fonctions d'Audit (Premium) telles que la conservation à long terme des journaux d'audit et la génération d'événements d’Audit (Premium) pour les enquêtes. Pour plus d'informations sur les licences, consultez :
- Exigences relatives aux licences d'Audit (Premium)
- Conseils sur les licences Microsoft 365 pour la sécurité et la conformité.

Cet article fournit une vue d’ensemble des fonctionnalités d’Audit (Premium) et vous montre comment configurer des utilisateurs pour l’Audit (Premium).

Conservation à long terme des journaux d’audit

L’Audit (Premium) conserve tous les enregistrements d’audit Exchange, SharePoint et Azure Active Directory pendant un an. Ceci est réalisé par une stratégie de rétention du journal d’audit par défaut qui conserve tout enregistrement d’audit contenant la valeur Exchange, SharePoint ou AzureActiveDirectory pour la propriété Charge de travail (indiquant le service dans lequel l’activité s’est produite) pendant un an. La rétention d’enregistrements d’audit sur des périodes plus longues peut vous aider à effectuer des investigations de conformité ou de vérification en cours. Pour plus d’informations, voir la section « Stratégie de rétention du journal d’audit par défaut » dans Gérer les stratégies de rétention du journal d’audit.

En plus des fonctionnalités de rétention d’un an de l’Audit (Premium), nous avons également publié la possibilité de conserver les journaux d’audit pendant 10 ans. La rétention de 10 ans des journaux d’audit permet de faciliter les investigations de longue durée et de répondre aux obligations réglementaires, légales et internes.

Notes

La rétention des journaux d’audit pendant 10 ans nécessite une licence supplémentaire de complément par utilisateur. Une fois que cette licence est attribuée à un utilisateur et qu'une stratégie appropriée de conservation des journaux d'audit pendant 10 ans est définie pour cet utilisateur, les journaux d'audit couverts par cette stratégie commenceront à être conservés pendant la période de 10 ans. Cette stratégie n'est pas rétroactive et ne peut pas conserver les journaux d'audit qui ont été générés avant la création de la stratégie de conservation des journaux d'audit pendant 10 ans. Pour plus d’informations, consultez la section FAQ sur l’Audit (Premium) de cet article.

Stratégies de rétention du journal d'audit

Tous les enregistrements d’audit générés dans d’autres services qui ne sont pas couverts par la stratégie de rétention par défaut du journal d’audit (décrits dans la section précédente) sont conservés pendant une durée de 90 jours. Toutefois, vous pouvez créer des stratégies de rétention de journal d’audit personnalisées pour retenir d'autres enregistrements d’audit pendant 10 ans. Vous pouvez créer une stratégie pour conserver les enregistrements d’audit basés sur un ou plusieurs critères énumérés ci-après :

  • Service Microsoft 365 dans lequel les activités auditées ont lieu.

  • Activités auditées spécifiques.

  • L’utilisateur effectuant une activité auditée.

Vous pouvez également spécifier la durée de conservation des enregistrements d’audit qui correspondent à une stratégie et à un niveau de priorité pour que les stratégies spécifiques soient prioritaires sur les autres stratégies. Veuillez noter également que toute stratégie de rétention de journal d’audit personnalisée sera prioritaire sur la stratégie de rétention d’audit par défaut si vous devez retenir des enregistrements d’audit Exchange, SharePoint ou Azure Active Directory pendant moins d’un an (ou pendant 10 ans) pour certains ou tous les utilisateurs de votre organisation. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.

Événements d’Audit (Premium)

L’Audit (Premium) aide les organisations à mener des enquêtes de conformité et d’investigation en fournissant l’accès à des événements importants tels que l’accès aux éléments de messagerie, la réponse et le transfert des éléments de courrier, ainsi que le moment et ce qu’un utilisateur a recherchés dans Exchange Online et SharePoint Online. Ces événements peuvent vous aider à identifier les violations possibles et déterminer l’étendue de la compromission. En plus de ces événements dans Exchange et SharePoint, il existe des événements dans d’autres services Microsoft 365 qui sont considérés comme des événements importants et qui nécessitent que les utilisateurs reçoivent la licence d’Audit (Premium) appropriée. Une licence d’Audit (Premium) doit être attribuée aux utilisateurs afin que les journaux d’audit soient générés lorsque les utilisateurs effectuent ces événements.

L’Audit (Premium) fournit les événements suivants :

MailItemsAccessed

L’événement MailItemsAccessed est une action d’audit de boîte aux lettres qui est déclenchée lorsque les données de courrier sont consultées par les protocoles de messagerie et les clients de messagerie. Cet événement peut aider les enquêteurs à identifier les violations de données et à mesurer l’étendue des messages susceptibles d’être compromis. Si une personne malveillante a accès aux e-mails, l’action MailItemsAccessed se déclenche même s’il n’y a pas de signal explicite indiquant qu'un message a été réellement lu (en d’autres termes, le type d’accès comme BIND ou synchrone, par exemple, est sauvegardé dans l’enregistrement d’audit).

L’événement MailItemsAccessed remplace MessageBind dans la journalisation d’audit des boîtes aux lettres dans Exchange Online et offre ces améliorations:

  • MessageBind était uniquement configurable pour le type d’ouverture de session utilisateur AuditAdmin ; cela ne s’appliquait pas aux actions de délégué ou de propriétaire. MailItemsAccessed s’applique à tous les types d’ouverture de session.

  • MessageBind ne prenait en charge que l'accès à un client de messagerie. Il ne s’appliquait pas aux activités synchrones. Les événements MailItemsAccessed sont déclenchés par les types d’accès BIND et synchrone.

  • Les actions MessageBind déclenchent la création de plusieurs enregistrements d’audit lorsque le même message électronique est accessible, ce qui entraîne du « bruit » dans l’audit. En revanche, les événements MailItemsAccessed sont agrégés sur moins d’enregistrements d’audit.

Pour plus d’informations sur les enregistrements d’audit pour les activités MailItemsAccessed, consultez Utiliser l’Audit (Premium) pour examiner les comptes compromis.

Pour rechercher des enregistrements d’audit MailItemsAccessed, vous pouvez rechercher les activités d’Accès aux éléments de boîte aux lettres dans la liste déroulante des Activités de boîte aux lettres Exchange dans l’outil de recherche de journal d’audit dans le portail de conformité.

Recherche d’actions MailItemsAccessed dans l’outil de recherche du journal d’audit.

Vous pouvez également exécuter la commande Search-UnifiedAuditLog -Operations MailItemsAccessed ou Search-MailboxAuditLog -Operations MailItemsAccessed dans Exchange Online PowerShell.

Envoyer

L’événement Envoi est également une action d’audit de boîte aux lettres qui est déclenchée lorsqu’un utilisateur effectue l’une des actions suivantes:

  • Envoie un message électronique

  • Répond à un message électronique

  • Transfert un message électronique

Les investigateurs peuvent utiliser l’événement Envoi pour identifier les messages envoyés à partir d’un compte compromis. L’enregistrement d’audit d’un événement Envoi contient des informations sur le message, par exemple, la date d’envoi du message, l’ID InternetMessage, la ligne d’objet et si le message contient des pièces jointes. Ces informations d’audit peuvent aider les investigateurs à identifier les informations relatives aux messages électroniques envoyés à partir d’un compte compromis ou envoyés par un intrus. De plus, les investigateurs peuvent utiliser un outil eDiscovery Microsoft 365 pour rechercher le message (à l’aide de la ligne d’objet ou de l’ID de message) pour identifier les destinataires du message et le contenu réel du message envoyé.

Pour rechercher des enregistrements d’audit d’envoi, vous pouvez rechercher l’activité Message envoyé dans la liste déroulante Activités de boîte aux lettres Exchange dans l’outil de recherche du journal d’audit dans le portail de conformité.

Recherche d’actions de Message envoyé dans l’outil de recherche du journal d’audit.

Vous pouvez également exécuter les commandes Search-UnifiedAuditLog -Operations Send ou Search-MailboxAuditLog -Operations Send dans Exchange Online PowerShell.

SearchQueryInitiatedExchange

L’événement SearchQueryInitiatedExchange se déclenche lorsqu’une personne utilise Outlook pour rechercher des éléments dans une boîte aux lettres. Des événements se déclenchent lorsque vous effectuez des recherches dans les environnements Outlook suivants :

  • Outlook (client de bureau)

  • Outlook sur le web (OWA)

  • Outlook pour iOS

  • Outlook pour Android

  • Application Courrier pour Windows 10

Les investigateurs peuvent utiliser l’événement SearchQueryInitiatedExchange pour déterminer si un intrus qui a compromis un compte a recherché ou essayé d’accéder à des informations sensibles dans la boîte aux lettres. L’enregistrement d’audit d’un événement SearchQueryInitiatedExchange contient des informations telles que le texte de la requête de recherche. L’enregistrement d’audit indique également l’environnement Outlook où vous avez effectué la recherche. En examinant les requêtes de recherche qu’un intrus peut avoir effectué, un investigateur peut mieux comprendre l’objectif des données de messagerie qui ont été recherchées.

Pour rechercher les enregistrements d’audit de SearchQueryInitiatedExchange, vous pouvez rechercher l’activité Recherche d’émail effectuée dans la liste déroulante des activités de recherche dans l’outil de recherche du journal d’audit dans le centre de conformité.

Recherche d’actions de Recherche d’e-mail effectuée dans l’outil de recherche du journal d’audit.

Vous pouvez également exécuter le Search-UnifiedAuditLog-Operations SearchQueryInitiatedExchange dans Exchange Online PowerShell.

Notes

Vous devez activer l'enregistrement de SearchQueryInitiatedExchange pour pouvoir rechercher cet événement dans le journal d'audit. Pour obtenir des instructions, consultez Configurer l’Audit (Premium).

SearchQueryInitiatedSharePoint

À l’instar de la recherche d’éléments de boîte aux lettres, l’événement SearchQueryInitiatedSharePoint se déclenche lorsqu’une personne recherche des éléments dans SharePoint. Les événements sont déclenchés lorsque des recherches sont effectuées sur la racine ou la page par défaut des types de sites SharePoint suivants :

  • Sites d’accueil

  • Sites de communication

  • Sites concentrateurs

  • Sites associés à Microsoft Teams

Les investigateurs peuvent utiliser l’événement SearchQueryInitiatedSharePoint pour déterminer si un intrus a essayé de rechercher des informations sensibles (et éventuellement y a accédé) dans SharePoint. L’enregistrement d’audit d’un événement SearchQueryInitiatedSharePoint contient également le texte de la requête de recherche. L’enregistrement d’audit indique également le type de site SharePoint où vous avez effectué la recherche. En examinant les requêtes de recherche qu’un intrus peut avoir effectué, un investigateur peut mieux comprendre l’objectif et l’étendue des données de fichiers qui ont été recherchées.

Pour rechercher les enregistrements d’audit SearchQueryInitiatedSharePoint, vous pouvez rechercher l’activité Recherche SharePoint effectuée dans la liste déroulante des activités de recherche dans l’outil de recherche du journal d’audit dans le centre de conformité.

Recherche d’actions de Recherche SharePoint effectuée dans l’outil de recherche du journal d’audit.

Vous pouvez également exécuter le Search-UnifiedAuditLog-Operations SearchQueryInitiatedSharePoint dans Exchange Online PowerShell.

Notes

Vous devez activer l'enregistrement de SearchQueryInitiatedSharePoint pour pouvoir rechercher cet événement dans le journal d'audit. Pour obtenir des instructions, consultez Configurer l’Audit (Premium).

Autres événements d’Audit (Premium) dans Microsoft 365

Outre les événements dans Exchange Online et SharePoint Online, il existe des événements dans d’autres services Microsoft 365 qui sont enregistrés lorsque les utilisateurs reçoivent la licence d’Audit (Premium) appropriée. Les services Microsoft 365 suivants fournissent des événements d’Audit (Premium). Sélectionnez un lien vers le lien correspondant pour accéder à un article qui identifie et décrit ces événements.

Accès haut débit à l’API Activité de gestion Office 365

Les organisations ayant accès à des journaux d’audit via l’API Activité de gestion Office 365 étaient restreintes par des seuils de limitation au niveau de l’éditeur. Cela signifie que pour un éditeur faisant une extraction de données pour le compte de plusieurs clients, la limite était partagée par tous les clients.

Avec la publication de l’Audit (Premium), nous passons d’une limite de niveau éditeur à une limite au niveau du client. Chaque organisation obtient ainsi son propre quota de bande passante entièrement allouée pour accéder à ses données d’audit. La bande passante n'est pas une limite statique prédéfinie. Elle est modelée sur une combinaison de facteurs, tels que le nombre de sièges au sein de l’organisation, et les organisations E5/A5/G5 obtiennent une bande passante plus importante que les organisations non E5/A5/G5.

Les organisations reçoivent une ligne de base de 2 000 demandes par minute. Cette limite augmentera de façon dynamique en fonction du nombre de sièges d’une organisation et du nombre de licences dans son abonnement. Les organisations E5/A5/G5 disposeront d’environ deux fois plus de bande passante que les organisations non-E5/A5/G5. La bande passante maximale sera également plafonnée afin de protéger l’intégrité du service.

Pour plus d’informations, consultez la rubrique « Limitation de l'API » dans la Référence de l’API Activité de gestion Office 365.

FAQ sur l’Audit (Premium)

Est-ce que chaque utilisateur a besoin d’une licence E5/A5/G5 pour bénéficier de l’Audit (Premium) ?

Pour tirer parti des fonctionnalités d’Audit (Premium) de niveau utilisateur, il doit se voir attribuer une licence E5/A5/G5. Certaines fonctionnalités vous permettront de vérifier la présence de la licence appropriée pour exposer la fonctionnalité à l’utilisateur. Par exemple, si vous essayez de conserver les enregistrements d’audit pour un utilisateur ne disposant pas la licence appropriée pendant plus de 90 jours, le système renvoie un message d’erreur.

Mon organisation dispose d’un abonnement E5/A5/G5, dois-je faire quoi quelque chose pour accéder aux enregistrements d’audit pour les événements d’Audit (Premium) ?

Pour les clients éligibles et les utilisateurs disposant de la licence E5/A5/G5 appropriée, aucune action n’est nécessaire pour accéder aux événements d’Audit (Premium), à l’exception de l’activation des événements SearchQueryInitiatedExchange et SearchQueryInitiatedSharePoint (comme décrit précédemment dans cet article). Les événements d’Audit (Premium) ne seront générés que pour les utilisateurs disposant de licences E5/A5/G5 une fois ces licences attribuées.

Les nouveaux événements de l’Audit (Premium) sont-ils disponibles dans l’API Activité de gestion Office 365 ?

Oui. Tant que les enregistrements d’audit sont générés pour les utilisateurs disposant de la licence appropriée, vous pourrez accéder à ces enregistrements via l’API Activité de gestion Office 365.

Qu’arrive-t-il aux données du journal d’audit de mon organisation si je crée une stratégie de rétention du journal d’audit de 10 ans lorsque la fonctionnalité est publiée pour la disponibilité générale, mais avant que la licence de composant additionnel requise ne soit disponible ?

Toutes les données de journal d’audit couvertes par une stratégie de rétention du journal d’audit de 10 ans que vous créez après la mise à disposition générale de la fonctionnalité au dernier trimestre de 2020 sont conservées pendant 10 ans. Cela inclut les stratégies de rétention du journal d’audit de 10 ans qui ont été créées avant que la licence de composant additionnel requise ne soit disponible à l’achat en mars 2021. Toutefois, étant donné que la licence de composant additionnel de rétention du journal d’audit de 10 ans est désormais disponible, vous devez acheter ces licences de composant additionnel et les attribuer à tous les utilisateurs dont les données d’audit sont couvertes par une stratégie de rétention d’audit de 10 ans.