Recherche d'événements dans le journal d'audit de Microsoft Teams

Importante

Le Centre d’administration Microsoft Teams remplace progressivement le centre d’administration Skype Entreprise, et nous y migreons les paramètres Teams à partir du Centre d'administration Microsoft 365. Si un paramètre a été migré, une notification s’affiche, puis vous êtes dirigé vers l’emplacement du paramètre dans le Centre d’administration Teams. Pour plus d’informations, consultez Gérer Teams pendant la transition vers le Centre d’administration Teams.

Le journal d’audit peut vous aider à examiner des activités spécifiques dans les services Microsoft 365. Pour Microsoft Teams, voici quelques-unes des activités auditées :

  • Création d'une équipe
  • Suppression d'une équipe
  • Canal ajouté
  • Canal supprimé
  • Paramètre de canal modifié

Pour obtenir la liste complète des activités Teams auditées, consultez Activités Teams et Shifts dans les activités Teams.

Remarque

Les événements d’audit des canaux privés sont également enregistrés tels qu’ils sont pour les équipes et les canaux standard.

Activer l’audit dans Teams

Avant de pouvoir examiner les données d’audit, vous devez d’abord activer l’audit dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Activer ou désactiver l’audit.

Importante

Les données d’audit ne sont disponibles qu’à partir du point où vous avez activé l’audit.

Récupérer des données Teams à partir du journal d’audit

  1. Pour récupérer les journaux d’audit des activités Teams, accédez à https://compliance.microsoft.com et sélectionnez Auditer.

  2. Dans la page Rechercher , filtrez les activités, les dates et les utilisateurs que vous souhaitez auditer.

  3. Exportez vos résultats vers Excel en vue d’une analyse plus approfondie.

Pour obtenir des instructions pas à pas, consultez Rechercher dans le journal d’audit dans le portail de conformité.

Importante

Les données d’audit ne sont visibles dans le journal d’audit que si l’audit est activé.

La durée pendant laquelle un enregistrement d’audit est conservé et peut faire l’objet d’une recherche dans le journal d’audit dépend de votre abonnement Microsoft 365 ou Office 365, et en particulier du type de licence attribué aux utilisateurs. Pour plus d’informations, consultez la description du service Security & Compliance Center.

Conseils pour effectuer une recherche dans le journal d’audit

Voici des conseils pour rechercher des activités Teams dans le journal d’audit.

Capture d’écran de la page de recherche du journal d’audit dans le portail de conformité

  • Vous pouvez sélectionner des activités spécifiques à rechercher en cliquant sur la case à cocher en regard d’une ou plusieurs activités. Si une activité est sélectionnée, vous pouvez la sélectionner pour annuler la sélection. Vous pouvez également utiliser la zone de recherche pour afficher les activités qui contiennent le mot clé que vous tapez.

    Capture d’écran de la liste déroulante des activités sur la page de recherche du journal d’audit

  • Pour afficher les événements des activités exécutées à l’aide d’applets de commande, sélectionnez Afficher les résultats de toutes les activités dans la liste Activités . Si vous connaissez le nom de l’opération pour ces activités, tapez-le dans la zone de recherche pour afficher l’activité, puis sélectionnez-la.

  • Pour effacer les critères de recherche actuels, sélectionnez Effacer tout. La plage de dates reprend la valeur par défaut des sept derniers jours.

  • Si 5 000 résultats sont détectés, vous pouvez partir du principe que plus de 5 000 événements correspondent aux critères de recherche. Vous pouvez affiner les critères de recherche et réexécuter la recherche pour renvoyer moins de résultats, ou vous pouvez exporter tous les résultats de la recherche en sélectionnant Exporter>Télécharger tous les résultats. Pour obtenir des instructions pas à pas sur l’exportation des journaux d’audit, consultez Exporter les résultats de la recherche dans un fichier.

Regardez cette vidéo pour l’utilisation de la recherche dans les journaux audio. Rejoignez Ansuman Acharya, responsable de programme pour Teams, car il montre comment effectuer une recherche dans les journaux d’audit pour Teams.

En savoir plus

Voici une liste de tous les événements enregistrés pour les activités des utilisateurs et des administrateurs dans Teams dans le journal d’audit Microsoft 365. Le tableau inclut le nom convivial affiché dans la colonne Activités et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier CSV lorsque vous exportez les résultats de la recherche.

Nom convivial Opération Description
Robot ajouté à une équipe BotAddedToTeam Un utilisateur ajoute un robot à une équipe.
Canal ajouté ChannelAdded Un utilisateur ajoute un canal à une équipe.
Connecteur ajouté ConnectorAdded Un utilisateur ajoute un connecteur à un canal.
Ajout de détails sur les réunions Teams 2, 5 MeetingDetail Teams a ajouté des informations sur une réunion, notamment l’heure de début, l’heure de fin et l’URL pour rejoindre la réunion.
Ajout d’informations sur les participants à la réunion 2, 5 MeetingParticipantDetail Teams a ajouté des informations sur les participants d’une réunion, y compris l’ID utilisateur de chaque participant, l’heure à laquelle un participant a rejoint la réunion et l’heure à laquelle un participant a quitté la réunion.
Ajout de membres 5, 6 MemberAdded Un propriétaire d'une équipe ajoute des membres à une équipe, un canal ou une conversation de groupe.
Onglet ajouté TabAdded Un utilisateur ajoute un onglet à un canal.
Étiquette de confidentialité appliquée SensitivityLabelApplied Un utilisateur ou un organisateur de réunion a appliqué une étiquette de confidentialité à une réunion Teams.
Paramètre de canal modifié ChannelSettingChanged L’opération ChannelSettingChanged est consignée lorsque les activités suivantes sont effectuées par un membre de l’équipe. Pour chacune de ces activités, une description du paramètre qui a été modifié (indiquée entre parenthèses est affichée dans la colonne Élément des résultats de la recherche dans le journal d’audit.
  • Modifie le nom d’un canal d’équipe (nom du canal)
  • Modification de la description d’un canal d’équipe (description du canal)
Paramètre d’organisation modifié TeamsTenantSettingChanged L’opération TeamsTenantSettingChanged est journalisée lorsque les activités suivantes sont effectuées par un administrateur général dans le Centre d'administration Microsoft 365. Ces activités affectent les paramètres Teams à l’échelle de l’organisation. Pour plus d’informations, consultez Gérer les paramètres Teams pour votre organization.
Pour chacune de ces activités, une description du paramètre modifié (entre parenthèses) s’affiche dans la colonne Élément des résultats de la recherche dans le journal d’audit.
  • Active ou désactive Teams pour le organization (Microsoft Teams).
  • Active ou désactive l’interopérabilité entre Microsoft Teams et Skype Entreprise pour le organization (interopérabilité Skype Entreprise).
  • Active ou désactive l’affichage organigramme dans les clients Microsoft Teams (vue Organigramme).
  • Active ou désactive la possibilité pour les membres de l’équipe de planifier des réunions privées (planification de réunions privées).
  • Active ou désactive la possibilité pour les membres de l’équipe de planifier des réunions de canal (planification des réunions de canal).
  • Active ou désactive les appels vidéo dans les réunions Teams (vidéo pour les réunions Skype).
  • Active ou désactive le partage d’écran dans les réunions Microsoft Teams pour les organization (partage d’écran pour les réunions Skype).
  • Active ou désactive cette possibilité d’ajouter des images animées (appelées Giphys) aux conversations Teams (images animées).
  • Modifie le paramètre d’évaluation du contenu pour le organization (Évaluation du contenu). L’évaluation du contenu restreint les types d’images animées qui peuvent être affichées dans les conversations.
  • Active ou désactive la possibilité pour les membres de l’équipe d’ajouter des images personnalisables (appelées mèmes personnalisés) à partir d’Internet aux conversations d’équipe (images personnalisables à partir d’Internet).
  • Active ou désactive la possibilité pour les membres de l’équipe d’ajouter des images modifiables (appelées autocollants) aux conversations d’équipe (images modifiables).
  • Active ou désactive cette possibilité pour les membres de l’équipe d’utiliser des bots dans les conversations et les canaux Microsoft Teams (bots à l’échelle de l’organisation).
  • Active des bots spécifiques pour Microsoft Teams. Cela n’inclut pas T-Bot qui est le robot d’assistance de Teams disponible lorsque les robots sont activés pour l’organisation (Robots individuels).
  • Active ou désactive la possibilité pour les membres de l’équipe d’ajouter des extensions ou des onglets (extensions ou onglets).
  • Active ou désactive le chargement indépendant de bots propriétaires pour Microsoft Teams (chargement indépendant de bots).
  • Active ou désactive la possibilité pour les utilisateurs d’envoyer des messages électroniques à un canal Microsoft Teams (messagerie de canal).
Rôle modifié des membres de l’équipe MemberRoleChanged Un propriétaire d’équipe modifie le rôle de membres d’une équipe. Les valeurs suivantes indiquent le type de rôle attribué à l’utilisateur.

1 - Indique le rôle Membre.
2 - Indique le rôle Propriétaire.
3 indique le rôle Invité.

La propriété Members inclut également le nom de votre organization et l’adresse e-mail du membre.
Paramètre d’équipe modifié TeamSettingChanged L’opération TeamSettingChanged est consignée lorsque les activités suivantes sont effectuées par un membre de l’équipe. Pour chacune de ces activités, une description du paramètre modifié (entre parenthèses) s’affiche dans la colonne Élément des résultats de la recherche dans le journal d’audit.
  • Modifie le type d’accès d’une équipe. Teams peut être défini comme privé ou public (type d’accès à l’équipe). Quand une équipe est privée (paramètre par défaut), les utilisateurs ne peuvent ne peuvent y accéder que sur invitation. Quand une équipe est publique, n’importe qui peut la trouver.
  • Modifie la classification des informations d’une équipe (classification d’équipe). Par exemple, les données d’une équipe peuvent être classifiées comme ayant un impact élevé, moyen ou faible sur l’activité.
  • Modifie le nom d’une équipe (nom de l’équipe).
  • Modifie la description de l’équipe (description de l’équipe).
  • Modifications apportées aux paramètres de l’équipe. Pour accéder à ces paramètres, un propriétaire d’équipe peut cliquer avec le bouton droit sur une équipe, sélectionner Gérer l’équipe, puis sélectionner l’onglet Paramètres . Pour ces activités, le nom du paramètre qui a été modifié s’affiche dans la colonne Élément des résultats de la recherche dans le journal d’audit.
Étiquette de confidentialité modifiée SensitivityLabelChanged Un utilisateur a modifié une étiquette de confidentialité sur une réunion Teams.
Création d’une conversation 1, 2 ChatCreated Une conversation Teams a été créée.
Équipe créée TeamCreated L’utilisateur crée une équipe.
Suppression d’un message 2 MessageDeleted Un message dans une conversation ou un canal a été supprimé.
Suppression de toutes les applications organization DeletedAllOrganizationApps Suppression de toutes les applications organization du catalogue.
Application supprimée AppDeletedFromCatalog Une application a été supprimée du catalogue.
Canal supprimé ChannelDeleted Un utilisateur supprime un canal d’une équipe.
Équipe supprimée TeamDeleted Un propriétaire d’équipe supprime une équipe.
Modification d’un message avec un lien URL dans Teams 5 MessageEditedHasLink Un utilisateur modifie un message et y ajoute un lien URL dans Teams.
Messages exportés 1, 2 MessagesExported Les messages de conversation ou de canal ont été exportés.
Enregistrements exportés RecordingExported Les enregistrements de conversation ont été exportés.
Transcriptions exportées TranscriptionsExported Les transcriptions de conversation ont été exportées.
Échec de la validation de l’invitation au canal partagé 3 FailedValidation Un utilisateur répond à une invitation à un canal partagé, mais la validation de l’invitation a échoué.
Conversation récupérée 1, 2 ChatRetrieved Une conversation Microsoft Teams a été récupérée.
Extrait tout le contenu hébergé d’un message1, 2 MessageHostedContentsListed Tout le contenu hébergé dans un message, tel que les images ou les extraits de code, a été récupéré.
Application installée AppInstalled Une application a été installée.
Action effectuée sur carte PerformCardAction Un utilisateur a effectué une action sur un carte adaptatif dans une conversation. Les cartes adaptatives sont généralement utilisées par les bots pour permettre l’affichage complet des informations et des interactions dans les conversations.

Note: Seules les actions d’entrée inline sur un carte adaptatif à l’intérieur d’une conversation sont disponibles dans le journal d’audit. Par exemple, lorsqu’un utilisateur envoie une réponse de sondage dans une conversation de canal sur un carte adaptatif généré par un bot poll. Les actions utilisateur telles que « Afficher le résultat », qui ouvre une boîte de dialogue, ou les actions de l’utilisateur à l’intérieur des dialogues ne sont pas disponibles dans le journal d’audit.
Publication d’un nouveau message 1, 2, 5, 6 MessageSent Un nouveau message a été publié sur une conversation ou un canal.
Application publiée AppPublishedToCatalog Une application a été ajoutée au catalogue.
Lire un message 1, 2 MessageRead Un message d’une conversation ou d’un canal a été récupéré.
Lire le contenu hébergé d’un message 1, 2 MessageHostedContentRead Le contenu hébergé dans un message, tel qu’une image ou un extrait de code, a été récupéré.
Robot supprimé l’équipe BotRemovedFromTeam Un utilisateur supprime un robot d’une d’une équipe.
Connecteur supprimé ConnectorRemoved Un utilisateur supprime un connecteur d’un canal.
Membres supprimés MemberRemoved Un propriétaire d’équipe supprime des membres d’une équipe, d'un canal ou d'une conversation de groupe.
Étiquette de confidentialité supprimée SensitivityLabelRemoved Un utilisateur a supprimé une étiquette de confidentialité d’une réunion Teams.
Suppression du partage du canal d’équipe 3 TerminatedSharing Un propriétaire d’équipe ou de canal a désactivé le partage pour un canal partagé.
Partage restauré du canal d’équipe 3 SharingRestored Un propriétaire d’équipe ou de canal a réactivé le partage pour un canal partagé.
Onglet supprimé TabRemoved Un utilisateur supprime un onglet d’un canal.
Réponse à l’invitation pour le canal partagé 3 InviteeResponded Un utilisateur a répondu à une invitation de canal partagé.
Réponse à la réponse de l’invité au canal partagé 3 ChannelOwnerResponded Un propriétaire de canal a répondu à une réponse d’un utilisateur qui a répondu à une invitation de canal partagé.
Messages récupérés 1, 2 MessagesListed Les messages d’une conversation ou d’un canal ont été récupérés.
Envoi d’un message avec un lien URL dans Teams 5 MessageCreatedHasLink Un utilisateur envoie un message contenant un lien URL dans Teams.
Notification de modification envoyée pour la création de message 1, 2 MessageCreatedNotification Une notification de modification a été envoyée pour notifier un nouveau message à une application d’écouteur abonnée.
Notification de modification envoyée pour la suppression du message 1, 2 MessageDeletedNotification Une notification de modification a été envoyée pour avertir une application d’écouteur abonnée d’un message supprimé.
Notification de modification envoyée pour les mises à jour de message 1, 2 MessageUpdatedNotification Une notification de modification a été envoyée pour avertir une application d’écouteur abonnée d’un message mis à jour.
Invitation envoyée pour le canal partagé 3 InviteSent Un propriétaire ou un membre de canal envoie une invitation à un canal partagé. Les invitations à des canaux partagés peuvent être envoyées à des personnes extérieures à votre organization si la stratégie de canal est configurée pour partager le canal avec des utilisateurs externes.
Abonné aux notifications de modification de message 1, 2 SubscribedToMessages Un abonnement a été créé par une application d’écouteur pour recevoir des notifications de modification pour les messages.
Application désinstallée AppUninstalled Une application a été désinstallée.
Application mise à jour AppUpdatedInCatalog Une application a été mise à jour dans le catalogue.
Mise à jour d’une conversation 1, 2 ChatUpdated Une conversation Teams a été mise à jour.
Mise à jour d’un message 1, 2 MessageUpdated Un message d’une conversation ou d’un canal a été mis à jour.
Connecteur mis à jour ConnectorUpdated Un utilisateur a modifié un connecteur dans un canal.
Onglet mis à jour TabUpdated Un utilisateur a modifié un onglet dans un canal.
Application mise à niveau AppUpgraded Une application a été mise à niveau vers sa dernière version dans le catalogue.
Utilisateur connecté à Teams TeamsSessionStarted Un utilisateur se connecte à un client Microsoft Teams. Cet événement ne capture pas les activités d’actualisation des jetons.
Nouveau message publié 3, 4, 5, 6 MessageSent Un nouveau message a été publié sur une conversation ou un canal. Cet événement est une fonctionnalité Premium avec des détails de licence à définir.

Remarque

1 Un enregistrement d’audit pour cet événement n’est enregistré que lorsque l’opération est effectuée en appelant un API Graph Microsoft. Si l’opération est effectuée dans le client Teams, aucun enregistrement d’audit n’est enregistré
2 Cet événement est disponible uniquement dans Audit (Premium). Cela signifie que les utilisateurs doivent se voir attribuer la licence appropriée avant que ces événements soient enregistrés dans le journal d’audit. Pour plus d’informations sur les activités disponibles uniquement dans Audit (Premium), consultez Audit (Premium) dans Microsoft Purview. Pour connaître les conditions de licence de l'audit (Premium), consultez la section Solutions d'audit dans Microsoft 365.
3 Cet événement est en préversion publique.
4Cet événement est généré pour la conversation uniquement s’il existe des invités, des utilisateurs fédérés et/ou anonymes.
5 Cet événement n’est actuellement pas disponible dans les organisations Government Community Cloud (GCC), Government Community Cloud High (GCC-High) et Department of Defense (DoD).
6 Cet événement est inclus dans tous les locataires participants pour les conversations fédérées.
7 Cet événement contient des informations de domaine de participation pour les conversations fédérées 1:1.

Changements dans les activités des Teams.

Si votre organization utilise l’application Shifts dans Teams, vous pouvez rechercher dans le journal d’audit des activités liées à l’application Shifts. Voici une liste de tous les événements enregistrés pour les activités Shifts dans Teams dans le journal d’audit Microsoft 365.

Nom facile à retenir Opération Description
Ajout d’un groupe de planification ScheduleGroupAdded Un utilisateur a correctement ajouté un nouveau groupe de planification à la planification.
Groupe de planification modifié ScheduleGroupEdited Un utilisateur modifie correctement un groupe de planification.
Groupe de planification supprimé ScheduleGroupDeleted Un utilisateur supprime correctement un groupe de planification de la planification de la planification.
Planification retirée ScheduleWithdrawn Un utilisateur retire correctement une planification publiée.
Ajout d’un décalage MajAdded Un utilisateur a correctement ajouté un décalage.
Maj modifié ShiftEdited Un utilisateur modifie correctement un shift.
Décalage supprimé MajDeleted Un utilisateur supprime correctement une équipe.
Ajout d’un congé TimeOffAdded Un utilisateur a correctement ajouté un congé à la planification.
Temps de congé modifié TimeOffEdited Un utilisateur modifie correctement le temps de congé.
Congé supprimé TimeOffDeleted Un utilisateur supprime correctement le temps de congé.
Ajout du décalage ouvert OpenShiftAdded Un utilisateur a correctement ajouté un shift ouvert à un groupe de planification.
Maj ouvert modifié OpenShiftEdited Un utilisateur modifie correctement une équipe ouverte dans un groupe de planification.
Décalage ouvert supprimé OpenShiftDeleted Un utilisateur supprime correctement une équipe ouverte d’un groupe de planification.
Planification partagée ScheduleShared Un utilisateur a partagé avec succès une planification d’équipe pour une plage de dates.
Horloge dans à l’aide de Time clock ClockedIn Un utilisateur a réussi à horloger à l’aide de Time clock.
Horloge à l’aide de Time clock ClockedOut Un utilisateur a réussi à sortir de l’horloge à l’aide de Time clock.
Arrêt démarré à l’aide de l’horloge chronologique BreakStarted Un utilisateur démarre correctement une pause pendant une session d’horloge active.
Arrêt terminé à l’aide de l’horloge chronologique BreakEnded Un utilisateur met fin à une pause pendant une session d’horloge active.
Ajout de l’entrée Time clock TimeClockEntryAdded Un utilisateur a correctement ajouté une nouvelle entrée d’horloge manuelle sur la feuille de temps.
Entrée d’horloge de temps modifiée TimeClockEntryEdited Un utilisateur modifie correctement une entrée d’horloge sur la feuille de temps.
Entrée d’horloge de l’heure supprimée TimeClockEntryDeleted Un utilisateur supprime correctement une entrée Time clock sur la feuille de temps.
Ajout d’une demande de shift RequestAdded Un utilisateur a ajouté une demande de shift.
Réponse à la demande de shift RequestRespondedTo Un utilisateur a répondu à une demande de shift.
Demande de shift annulée RequestCancelled Un utilisateur a annulé une demande de shift.
Modification du paramètre de planification ScheduleSettingChanged Un utilisateur modifie un paramètre dans les paramètres Shifts.
Intégration de la main-d’œuvre ajoutée WorkforceIntegrationAdded L’application Shifts est intégrée à un système tiers.
Message de décalage accepté OffShiftDialogAccepted Un utilisateur accuse réception du message d’arrêt de travail pour accéder à Teams après les heures de travail.

application Mises à jour dans les activités Teams

Si votre organization utilise l’application Mises à jour dans Teams, vous pouvez rechercher dans le journal d’audit des activités liées à l’application Mises à jour. Voici une liste de tous les événements enregistrés pour Mises à jour activités d’application dans Teams dans le journal d’audit Microsoft 365.

Nom facile à retenir Opération Description
Créer une demande de mise à jour CreateUpdateRequest Un utilisateur crée correctement une demande de mise à jour.
Modifier une demande de mise à jour EditUpdateRequest Un utilisateur ouvre l’Assistant Modification de demande et sélectionne Enregistrer pour confirmer et enregistrer les modifications, ou active ou désactive directement la demande de mise à jour.
Envoyer une mise à jour SubmitUpdate Un utilisateur envoie correctement une mise à jour.
Afficher les détails d’une mise à jour ViewUpdate Un utilisateur affiche les détails de la mise à jour.

API Activité de gestion Office 365

Vous pouvez utiliser l’API d’activité de gestion Office 365 pour récupérer des informations sur les événements Teams. Pour en savoir plus sur le schéma de l’API d’activité de gestion pour Teams, consultez Schéma Teams.

Attribution dans les journaux d’audit Teams

Les modifications d’appartenance à Teams (telles que les utilisateurs ajoutés ou supprimés) effectuées via Azure Active Directory (Azure AD), le portail d’administration Microsoft 365 ou Groupes Microsoft 365 API Graph s’affichent dans les messages d’audit Teams et dans le canal Général avec une attribution à un propriétaire existant de l’équipe, et non à l’initiateur réel de l’action. Dans ces scénarios, consultez les journaux d’audit d’Azure AD ou de Groupe Microsoft 365 pour voir les informations pertinentes.

Utiliser Defender for Cloud Apps pour définir des stratégies d’activité

À l’aide de Microsoft Defender for Cloud Apps’intégration, vous pouvez définir des stratégies d’activité pour appliquer un large éventail de processus automatisés à l’aide des API du fournisseur d’applications. Ces stratégies vous permettent de surveiller des activités spécifiques effectuées par différents utilisateurs ou de suivre des taux inattendus élevés d’un certain type d’activité.

Une fois que vous avez défini une stratégie de détection d’activité, elle commence à générer des alertes. Les alertes sont générées uniquement sur les activités qui se produisent après la création de la stratégie. Voici quelques exemples de scénarios permettant d’utiliser des stratégies d’activité dans Defender for Cloud Apps pour surveiller les activités Teams.

Scénario d’utilisateur externe

L’un des scénarios sur lesquels vous souhaiterez peut-être garder un œil, du point de vue métier, est l’ajout d’utilisateurs externes à votre environnement Teams. Si les utilisateurs externes sont activés, la surveillance de leur présence est une bonne idée. Vous pouvez utiliser Defender for Cloud Apps pour identifier les menaces potentielles.

Stratégie de surveillance de l’ajout d’utilisateurs externes

La capture d’écran de cette stratégie pour surveiller l’ajout d’utilisateurs externes vous permet de nommer la stratégie, de définir la gravité en fonction des besoins de votre entreprise, de la définir comme (dans ce cas) une seule activité, puis d’établir les paramètres qui surveilleront spécifiquement uniquement l’ajout d’utilisateurs non internes et limiter cette activité à Teams.

Les résultats de cette stratégie peuvent être affichés dans le journal d’activité :

Événements déclenchés par la stratégie des utilisateurs externes

Ici, vous pouvez passer en revue les correspondances à la stratégie que vous avez définie et effectuer les ajustements nécessaires, ou exporter les résultats pour les utiliser ailleurs.

Scénario de suppression en masse

Comme mentionné précédemment, vous pouvez surveiller les scénarios de suppression. Il est possible de créer une stratégie qui surveillerait la suppression massive des sites Teams. Dans cet exemple, une stratégie basée sur les alertes est configurée pour détecter la suppression massive d’équipes en 30 minutes.

Stratégie montrant la configuration d’une stratégie pour la détection de suppression d’équipe en masse

Comme le montre la capture d’écran, vous pouvez définir de nombreux paramètres différents pour cette stratégie afin de surveiller les suppressions de Teams, notamment la gravité, l’action unique ou répétée, et les paramètres limitant ce paramètre à La suppression de sites et teams. Cette opération peut être effectuée indépendamment d’un modèle, ou vous pouvez avoir créé un modèle sur lequel baser cette stratégie, en fonction des besoins de votre organisation.

Après avoir établi une stratégie qui fonctionne pour votre entreprise, vous pouvez examiner les résultats dans le journal d’activité à mesure que des événements sont déclenchés :

Capture d’écran des événements déclenchés par des suppressions en masse

Vous pouvez filtrer jusqu’à la stratégie que vous avez définie pour afficher les résultats de cette stratégie. Si les résultats que vous obtenez dans le journal d’activité ne sont pas satisfaisants (peut-être que vous voyez beaucoup de résultats, ou rien du tout), cela peut vous aider à affiner la requête pour la rendre plus pertinente par rapport à ce que vous avez besoin de faire.

Scénario d’alerte et de gouvernance

Vous pouvez définir des alertes et envoyer des e-mails aux administrateurs et autres utilisateurs lorsqu’une stratégie d’activité est déclenchée. Vous pouvez définir des actions de gouvernance automatisées, telles que la suspension d’un utilisateur ou le fait qu’un utilisateur se reconnecte de manière automatisée. Cet exemple montre comment un compte d’utilisateur peut être suspendu lorsqu’une stratégie d’activité est déclenchée et détermine qu’un utilisateur a supprimé deux équipes ou plus en 30 minutes.

Capture d’écran des alertes et des actions de gouvernance pour une stratégie d’activité.

Utiliser Defender for Cloud Apps pour définir des stratégies de détection d’anomalie

Les stratégies de détection des anomalies dans Defender for Cloud Apps fournissent des analyses comportementales d’utilisateur et d’entité prêtes à l’emploi (UEBA) et du Machine Learning (ML) afin que vous puissiez exécuter immédiatement la détection avancée des menaces dans votre environnement cloud. Comme elles sont automatiquement activées, les nouvelles stratégies de détection d’anomalies fournissent des résultats immédiats en fournissant des détections immédiates, ciblant de nombreuses anomalies comportementales sur vos utilisateurs et les machines et appareils connectés à votre réseau. En outre, les nouvelles stratégies exposent davantage de données à partir du moteur de détection Defender for Cloud Apps, pour vous aider à accélérer le processus d’investigation et à contenir les menaces en cours.

Nous travaillons à l’intégration des événements Teams dans les stratégies de détection d’anomalies. Pour l’instant, vous pouvez configurer des stratégies de détection des anomalies pour d’autres produits Office et prendre des mesures sur les utilisateurs qui correspondent à ces stratégies.