Recherche d'événements dans le journal d'audit de Microsoft Teams
Importante
Le Centre d’administration Microsoft Teams remplace progressivement le centre d’administration Skype Entreprise, et nous y migreons les paramètres Teams à partir de la Centre d’administration Microsoft 365. Si un paramètre a été migré, une notification s’affiche, puis vous êtes dirigé vers l’emplacement du paramètre dans le Centre d’administration Teams. Pour plus d’informations, consultez Gérer Teams pendant la transition vers le Centre d’administration Teams.
Le journal d’audit peut vous aider à examiner des activités spécifiques dans les services Microsoft. Pour Microsoft Teams, voici quelques-unes des activités auditées :
- Création d'une équipe
- Suppression d'une équipe
- Canal ajouté
- Canal supprimé
- Paramètre de canal modifié
Pour obtenir la liste complète des activités Teams auditées, consultez Activités Teams dans le journal d’audit.
Remarque
Les événements d’audit des canaux privés sont également enregistrés tels qu’ils sont pour les équipes et les canaux standard.
Activer l’audit dans Teams
Avant de pouvoir examiner les données d’audit, vous devez d’abord activer l’audit dans le portail Microsoft Purview ou dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Activer ou désactiver l’audit.
Importante
Les données d’audit ne sont disponibles qu’à partir du point où vous avez activé l’audit.
Récupérer des données Teams à partir du journal d’audit
Pour récupérer les journaux d’audit des activités Teams, vous utilisez le portail Microsoft Purview ou le portail de conformité. Pour obtenir des instructions pas à pas, consultez Rechercher dans le journal d’audit.
Importante
Les données d’audit ne sont visibles dans le journal d’audit que si l’audit est activé.
La durée pendant laquelle un enregistrement d’audit est conservé et peut faire l’objet d’une recherche dans le journal d’audit dépend de votre abonnement Microsoft 365 ou Office 365, et en particulier du type de licence attribué aux utilisateurs. Pour plus d’informations, consultez la description du service Security & Compliance Center.
Conseils pour effectuer une recherche dans le journal d’audit
Voici des conseils pour rechercher des activités Teams dans le journal d’audit.
Vous pouvez sélectionner des activités spécifiques à rechercher en cliquant sur la case à cocher en regard d’une ou plusieurs activités. Si une activité est sélectionnée, vous pouvez la sélectionner pour annuler la sélection. Vous pouvez également utiliser la zone de recherche pour afficher les activités qui contiennent le mot clé que vous tapez.
Pour afficher les événements des activités exécutées à l’aide d’applets de commande, sélectionnez Afficher les résultats de toutes les activités dans la liste Activités . Si vous connaissez le nom de l’opération pour ces activités, tapez-le dans la zone de recherche pour afficher l’activité, puis sélectionnez-la.
Pour effacer les critères de recherche actuels, sélectionnez Effacer tout. La plage de dates reprend la valeur par défaut des sept derniers jours.
Si 5 000 résultats sont détectés, vous pouvez partir du principe que plus de 5 000 événements correspondent aux critères de recherche. Vous pouvez affiner les critères de recherche et réexécuter la recherche pour renvoyer moins de résultats, ou vous pouvez exporter tous les résultats de la recherche en sélectionnant Exporter>Télécharger tous les résultats. Pour obtenir des instructions pas à pas sur l’exportation des journaux d’audit, consultez Rechercher dans le journal d’audit.
Regardez cette vidéo pour l’utilisation de la recherche dans les journaux audio. Rejoignez Ansuman Acharya, responsable de programme pour Teams, car il montre comment effectuer une recherche dans les journaux d’audit pour Teams.
En savoir plus
Pour obtenir la liste de tous les événements enregistrés pour les activités des utilisateurs et des administrateurs dans Teams dans le journal d’audit Microsoft 365, consultez :
- Activités Teams dans le journal d’audit
- Déplace l’application dans les activités Teams dans le journal d’audit
- Mises à jour’application dans les activités Teams dans le journal d’audit
API Activité de gestion Office 365
Vous pouvez utiliser l’API d’activité de gestion Office 365 pour récupérer des informations sur les événements Teams. Pour en savoir plus sur le schéma de l’API d’activité de gestion pour Teams, consultez Schéma Teams.
Attribution dans les journaux d’audit Teams
Les modifications d’appartenance à Teams (telles que les utilisateurs ajoutés ou supprimés) effectuées via Microsoft Entra ID, le portail d’administration Microsoft 365 ou Groupes Microsoft 365 API Graph s’affichent dans les messages d’audit Teams et dans le canal Général avec une attribution à un propriétaire existant de l’équipe, et non à l’initiateur réel de l’action. Dans ces scénarios, consultez Microsoft Entra ID ou les journaux d’audit du groupe Microsoft 365 pour voir les informations pertinentes.
Utiliser Defender for Cloud Apps pour définir des stratégies d’activité
À l’aide de Microsoft Defender for Cloud Apps’intégration, vous pouvez définir des stratégies d’activité pour appliquer un large éventail de processus automatisés à l’aide des API du fournisseur d’applications. Ces stratégies vous permettent de surveiller des activités spécifiques effectuées par différents utilisateurs ou de suivre des taux inattendus élevés d’un certain type d’activité.
Une fois que vous avez défini une stratégie de détection d’activité, elle commence à générer des alertes. Les alertes sont générées uniquement sur les activités qui se produisent après la création de la stratégie. Voici quelques exemples de scénarios permettant d’utiliser des stratégies d’activité dans Defender for Cloud Apps pour surveiller les activités Teams.
Scénario d’utilisateur externe
L’un des scénarios sur lesquels vous souhaiterez peut-être garder un œil, du point de vue métier, est l’ajout d’utilisateurs externes à votre environnement Teams. Si les utilisateurs externes sont activés, la surveillance de leur présence est une bonne idée. Vous pouvez utiliser Defender for Cloud Apps pour identifier les menaces potentielles.
La capture d’écran de cette stratégie pour surveiller l’ajout d’utilisateurs externes vous permet de nommer la stratégie, de définir la gravité en fonction des besoins de votre entreprise, de la définir comme (dans ce cas) une seule activité, puis d’établir les paramètres qui surveilleront spécifiquement uniquement l’ajout d’utilisateurs non internaux et limiter cette activité à Teams.
Les résultats de cette stratégie peuvent être affichés dans le journal d’activité :
Ici, vous pouvez passer en revue les correspondances à la stratégie que vous avez définie et effectuer les ajustements nécessaires, ou exporter les résultats pour les utiliser ailleurs.
Scénario de suppression en masse
Comme mentionné précédemment, vous pouvez surveiller les scénarios de suppression. Il est possible de créer une stratégie qui surveillerait la suppression massive des sites Teams. Dans cet exemple, une stratégie basée sur les alertes est configurée pour détecter la suppression massive d’équipes en 30 minutes.
Comme le montre la capture d’écran, vous pouvez définir de nombreux paramètres différents pour cette stratégie afin de surveiller les suppressions de Teams, notamment la gravité, l’action unique ou répétée, et les paramètres limitant ce paramètre à La suppression de sites et teams. Cette opération peut être effectuée indépendamment d’un modèle, ou vous pouvez avoir créé un modèle sur lequel baser cette stratégie, en fonction des besoins de votre organisation.
Après avoir établi une stratégie qui fonctionne pour votre entreprise, vous pouvez examiner les résultats dans le journal d’activité à mesure que des événements sont déclenchés :
Vous pouvez filtrer jusqu’à la stratégie que vous avez définie pour afficher les résultats de cette stratégie. Si les résultats que vous obtenez dans le journal d’activité ne sont pas satisfaisants (peut-être que vous voyez beaucoup de résultats, ou rien du tout), cela peut vous aider à affiner la requête pour la rendre plus pertinente par rapport à ce que vous avez besoin de faire.
Scénario d’alerte et de gouvernance
Vous pouvez définir des alertes et envoyer des e-mails aux administrateurs et autres utilisateurs lorsqu’une stratégie d’activité est déclenchée. Vous pouvez définir des actions de gouvernance automatisées, telles que la suspension d’un utilisateur ou le fait qu’un utilisateur se reconnecte de manière automatisée. Cet exemple montre comment un compte d’utilisateur peut être suspendu lorsqu’une stratégie d’activité est déclenchée et détermine qu’un utilisateur a supprimé deux équipes ou plus en 30 minutes.
Utiliser Defender for Cloud Apps pour définir des stratégies de détection d’anomalie
Les stratégies de détection des anomalies dans Defender for Cloud Apps fournissent l’analytique comportementale des utilisateurs et des entités prêtes à l’emploi (UEBA) et le Machine Learning (ML) afin que vous puissiez exécuter immédiatement la détection avancée des menaces dans votre environnement cloud. Comme elles sont automatiquement activées, les nouvelles stratégies de détection d’anomalies fournissent des résultats immédiats en fournissant des détections immédiates, ciblant de nombreuses anomalies comportementales sur vos utilisateurs et les machines et appareils connectés à votre réseau. En outre, les nouvelles stratégies exposent davantage de données à partir du moteur de détection Defender for Cloud Apps, pour vous aider à accélérer le processus d’investigation et à contenir les menaces en cours.
Nous travaillons à l’intégration des événements Teams dans les stratégies de détection d’anomalies. Pour l’instant, vous pouvez configurer des stratégies de détection des anomalies pour d’autres produits Office et prendre des mesures sur les utilisateurs qui correspondent à ces stratégies.