Partager via

Suivre et examiner les activités d’identité avec des identificateurs pouvant être liés dans Microsoft Entra

Microsoft incorpore des identificateurs spécifiques dans tous les jetons d’accès qui permettent la corrélation des activités à un événement d’authentification racine unique. Ces identificateurs pouvant être liés sont exposés dans les journaux destinés aux clients pour aider les chasseurs de menaces et les analystes de sécurité dans l’investigation et l’atténuation des attaques basées sur l'identité. En utilisant ces identificateurs, les professionnels de la sécurité peuvent suivre, analyser et répondre plus efficacement aux activités malveillantes entre les sessions et les jetons, ce qui améliore la transparence et la sécurité de l’environnement.

Types d’identificateurs pouvant être liés

Il existe deux types d’identificateurs pouvant être liés utilisés pour prendre en charge les scénarios avancés d’investigation des identités et de repérage des menaces : identificateurs basés sur l’ID de session et identificateurs de jeton uniques.

Identificateurs basés sur l’ID de session

Un identificateur basé sur l’ID de session (identificateur basé sur SID) permet la corrélation de tous les artefacts d’authentification tels que le jeton d’accès (AT), le jeton d’actualisation (RT) et les cookies de session émis à partir d’un événement d’authentification racine unique. Cet identificateur est particulièrement utile pour le suivi de l’activité dans une session.

Les scénarios d’investigation courants basés sur un SID sont les suivants :

  • Mettre en corrélation l’activité entre les services : commencez par un ID de session à partir des journaux de connexion Microsoft Entra. Joignez-le à des journaux de charge de travail, tels que les journaux d’audit Exchange Online ou les journaux d’activité Microsoft Graph. Vous pouvez ensuite identifier toutes les actions effectuées par des jetons d’accès qui partagent le même ID de session.
  • Filtrer par utilisateur ou appareil : résultats étroits à l’aide de UserId ou DeviceId, ou de jetons de filtre émis dans une période de session spécifique.
  • Énumérer les sessions : déterminez le nombre de sessions actives pour un utilisateur spécifique (UserId) ou un appareil (DeviceId).
  • Lien entre les artefacts d’authentification : la revendication SID est générée pendant l’authentification interactive et incluse dans le jeton d’actualisation principal (PRT), le jeton d’actualisation ou le cookie de session. Tous les jetons d’accès émis à partir de ces sources héritent du même SID, ce qui permet une liaison cohérente entre les artefacts d’authentification.

Identificateurs de jeton uniques

L’identificateur de jeton unique (UTI) est un identificateur global unique (GUID) incorporé dans chaque jeton d’accès Microsoft Entra (AT) ou jeton d’ID. Il identifie de manière unique chaque jeton ou requête, fournissant une traçabilité affinée.

Le traçage d’activités au niveau du jeton est un scénario courant d’investigation basé sur UTI. Commencez par une UTI à partir des journaux de connexion Microsoft Entra et mettez-la en corrélation avec les journaux de charge de travail, tels que les journaux d’audit Exchange Online ou les journaux d’activité Microsoft Graph, pour suivre toutes les actions effectuées par un jeton d’accès spécifique.

L’UTI est unique pour chaque jeton d’accès et chaque session, ce qui le rend idéal pour précisément identifier les jetons suspects ou compromis au cours des investigations.

Revendications d’identificateurs pouvant être liées

Ce tableau décrit toutes les revendications d’identificateur pouvant être liées dans les jetons Entra.

Revendication Format Description
oid Chaîne, GUID L’identificateur non modifiable pour le demandeur, qui correspond à l’identité vérifiée de l’utilisateur ou du principal de service. Cet ID identifie de manière unique le demandeur entre les applications.
tid Chaîne, GUID Représente le locataire auquel l’utilisateur se connecte.
sid Chaîne, GUID Représente un identificateur unique pour une session entière et est généré lorsqu’un utilisateur effectue une authentification interactive. Cet ID permet de lier tous les artefacts d’authentification émis à partir d’une seule authentification racine.
deviceid Chaîne, GUID Représente un identificateur unique pour l’appareil à partir duquel un utilisateur interagit avec une application.
uti Chaîne Représente la revendication d’identificateur de jeton. Cet ID est un identificateur unique par jeton, sensible à la casse.
iat int, timestamp UNIX Indique quand l’authentification de ce jeton a eu lieu.

Disponibilité des logs pour les identificateurs pouvant être liés

Actuellement, les identificateurs pouvant être liés sont enregistrés dans les sources de journal suivantes :

  • Journaux de connexion Microsoft Entra
  • Journaux d’audit Microsoft Exchange Online
  • Journaux d’activité de Microsoft Graph
  • Journaux d’audit Microsoft SharePoint Online
  • Journaux d’audit Microsoft Teams

Ces journaux permettent aux analystes de sécurité de mettre en corrélation les événements d’authentification et l’utilisation des jetons entre les services, en prenant en charge des enquêtes complètes sur les menaces liées à l’identité.

Identificateurs pouvant être liés dans les journaux de connexion Microsoft Entra

Toutes les entrées des journaux de connexion ont des revendications d'identificateur pouvant être liées. Ce tableau montre le mappage entre la revendication d’identificateur et l’attribut du journal de connexion Entra.

Revendication Nom de l’attribut du journal de connexion Entra
oid ID d’utilisateur
tid ID du locataire de la ressource
sid ID de la session
deviceid ID d’appareil
uti Identificateur de jeton unique
iat Date

Pour afficher les journaux de connexion depuis le Centre d’administration Microsoft Entra :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant que lecteur de rapports au moins.
  2. Accédez à Microsoft Entra ID>Surveillance et santé>Journaux de connexion.
  3. Filtrez par heure ou par utilisateur spécifique pour examiner les entrées de journal spécifiques.
  4. Cliquez sur n’importe quelle entrée de journal de connexion.
  5. Les informations de base indiquent l’ID utilisateur, l’ID de locataire de ressource, l’ID de session, l’identificateur de jeton unique et la date. Les appareils affichent l’ID d’appareil pour les appareils inscrits et joints à un domaine.

Capture d’écran d'une entrée du journal de connexion dans le centre d’administration Microsoft Entra.

Capture d’écran d'une entrée du journal de connexion avec des identificateurs pouvant être liés.

Vous devez commencer par l'attribut ID utilisateur des journaux de connexion Microsoft Entra et inspecter manuellement les journaux d'audit de la charge de travail pour suivre toutes les activités à l'aide d'un jeton d'accès spécifique. De même, l’attribut ID de session peut être utilisé pour effectuer une recherche manuelle dans les journaux d’audit de la charge de travail pour suivre toutes les activités.

Identificateurs pouvant être liés dans les journaux Microsoft Exchange Online

Les journaux d’audit Exchange Online fournissent une visibilité sur l’activité des utilisateurs critiques et prennent en charge les enquêtes approfondies en capturant des événements d’audit détaillés. Ces journaux incluent des identificateurs pouvant être liés qui proviennent des jetons Microsoft Entra, ce qui permet la corrélation entre les artefacts d’authentification et les charges de travail.

Scénarios d’investigation pris en charge

Pour les scénarios tels que les mises à jour de boîte aux lettres, les déplacements d’éléments ou les suppressions, vous pouvez :

  • Commencez par utiliser des identificateurs pouvant être liés à partir des journaux de connexion Microsoft Entra, tels que l’ID de session (SID) ou l’identificateur de jeton unique (UTI).
  • Utilisez ces identificateurs pour rechercher les journaux d’audit Microsoft Purview (Standard) ou Audit (Premium).
  • Effectuez le suivi de toutes les actions utilisateur effectuées sur les éléments de boîte aux lettres pendant une session spécifique ou par un jeton spécifique.

Cette approche permet aux analystes de sécurité de suivre l’activité entre les services et d’identifier l’utilisation abusive ou la compromission potentielle.

Pour obtenir des instructions détaillées sur la recherche dans les journaux d’audit Exchange Online, consultez Rechercher dans le journal d’audit.

Ce tableau montre le mappage entre les revendications d’identificateur pouvant être liées et l’attribut du journal d’audit Exchange Online.

Revendication Nom de l’attribut du journal d’audit Exchange Online
oid TokenObjectId
tid TokenTenantId
sid SessionID / AADSessionId dans l’objet App Access Context
deviceid Identifiant de l'appareil (disponible uniquement pour les appareils inscrits/rattachés à un domaine)
uti UniqueTokenId dans l’objet Contexte d’accès aux applications
iat IssuedAtTime dans l’objet Contexte d’accès aux applications

Afficher les journaux Exchange Online via le portail Microsoft Purview

  1. Accédez au portail Microsoft Purview.

  2. Recherchez les journaux avec un intervalle de temps spécifique et des types d'enregistrements commençant par Exchange.

    Capture d’écran du portail Microsoft Purview montrant la recherche de journaux d’activité avec la charge de travail Exchange.

  3. Vous pouvez affiner davantage votre recherche pour inclure un utilisateur spécifique ou une valeur d'identifiant utilisateur (UTI) à partir des journaux de connexion Microsoft Entra. Vous pouvez filtrer tous les journaux d’activité au sein d’une session avec SessionId.

  4. Les résultats affichent tous les identificateurs pouvant être liés.

    Capture d’écran du portail Microsoft Purview montrant l’élément de journal avec des identificateurs pouvant être liés.

    Capture d’écran du portail Microsoft Purview montrant un élément de journal détaillé.

  5. Exportez le journal d’audit et examinez une activité spécifique SessionId ou UniqueTokenId toutes les activités d’Exchange Online.

Afficher les journaux d'activité Exchange Online à l’aide des applets de commande PowerShell

  1. Exécutez PowerShell en tant qu’administrateur.

  2. Si le module ExchangeOnlineManagement n’est pas installé, exécutez :

    Install-Module -Name ExchangeOnlineManagement

  3. Connectez-vous à Exchange Online :

    Connect-ExchangeOnline -UserPrincipalName <user@4jkvzv.onmicrosoft.com>

  4. Exécutez certaines commandes de boîte aux lettres :

    Set-Mailbox user@4jkvzv.onmicrosoft.com -MaxSendSize 97MB

    Set-Mailbox user@4jkvzv.onmicrosoft.com -MaxSendSize 98MB

    Set-Mailbox user@4jkvzv.onmicrosoft.com -MaxSendSize 99MB

  5. Recherchez le journal d’audit unifié :

    Search-UnifiedAuditLog -StartDate 01/06/2025 -EndDate 01/08/2025 -RecordType ExchangeItem, ExchangeAdmin, ExchangeAggregatedOperation, ExchangeItemAggregated, ExchangeItemGroup, ExchangeSearch

  6. Dans les résultats figurent tous les identificateurs pouvant être liés.

Remarque

Les identificateurs pouvant être liés ne sont pas disponibles dans les journaux d’audit Exchange Online sur certaines entrées de journal agrégées ou les journaux générés à partir de processus en arrière-plan.

Pour plus d’informations, voir Exchange Online PowerShell.

Identificateurs pouvant être liés dans les journaux d’activité Microsoft Graph

Les journaux d’activité Microsoft Graph fournissent une piste d’audit de toutes les requêtes HTTP reçues et traitées par le service Microsoft Graph pour un locataire. Ces journaux sont stockés dans un espace de travail Log Analytics, ce qui permet une analyse et une investigation avancées.

Si vous configurez les journaux d’activité Microsoft Graph à envoyer à un espace de travail Log Analytics, vous pouvez les interroger à l’aide du langage de requête Kusto. Cela vous permet d’effectuer des enquêtes détaillées sur le comportement des utilisateurs et des applications dans les services Microsoft 365.

Scénarios d’investigation utilisant des identificateurs pouvant être liés

Pour les scénarios impliquant l’activité Microsoft Graph, vous pouvez :

  • Commencez par des identificateurs pouvant être liés à partir des journaux de connexion Microsoft Entra, tels que SID ou UTI.
  • Utilisez ces identificateurs pour mettre en corrélation et suivre les actions utilisateur dans les journaux d’activité Microsoft Graph.
  • Effectuez le suivi de toutes les opérations effectuées sur des éléments de boîte aux lettres ou d’autres ressources par un jeton ou une session spécifique, consultez les journaux d’activité Microsoft Graph.

Ce tableau montre le mappage entre les revendications d’identificateur pouvant être liées et l’attribut du journal d’activité Microsoft Graph.

Revendication Nom de l’attribut dans le journal d’activité Microsoft Graph
oid ID utilisateur
tid Id de locataire
sid ID de session
deviceid DeviceId (disponible uniquement pour les appareils inscrits et joints à un domaine)
uti SignInActivityId
iat TokenIssuedAt

Joindre des journaux de connexion et des journaux d’activité Microsoft Graph en utilisant KQL

Vous pouvez utiliser kusto Query Language (KQL) pour rejoindre les journaux de connexion Microsoft Entra et les journaux d’activité Microsoft Graph pour les scénarios d’investigation avancés.

Filtrage par identificateurs pouvant être liés

  • Filtrer par uti : utilisez l’attribut uti pour analyser toutes les activités associées à un jeton d’accès spécifique. Cela est utile pour tracer le comportement d’un seul jeton entre les services.
  • Filtrer par ID de session (sid) : utilisez la revendication sid pour analyser toutes les activités effectuées par les jetons d’accès émis à partir d’un jeton d’actualisation provenant d’une authentification racine interactive. Cela vous permet de suivre le cycle de vie de session complet.
  • Filtrage supplémentaire : vous pouvez affiner davantage vos requêtes à l’aide d’attributs tels que UserId, DeviceId et des filtres basés sur le temps pour affiner l’étendue de votre investigation.

Ces fonctionnalités permettent aux analystes de sécurité de mettre en corrélation les événements d’authentification avec l’activité de charge de travail, d’améliorer la visibilité et la réponse aux menaces liées à l’identité.

MicrosoftGraphActivityLogs
| where TimeGenerated > ago(4d) and UserId == '4624cd8c-6c94-4593-b0d8-a4983d797ccb'
| join kind=leftouter (union
SigninLogs,
AADNonInteractiveUserSignInLogs,
AADServicePrincipalSignInLogs,
AADManagedIdentitySignInLogs,
ADFSSignInLogs
| where TimeGenerated > ago(4d))
on $left.SignInActivityId == $right.UniqueTokenIdentifier

Capture d’écran des résultats de requête KQL montrant les journaux d’activité joints.

Pour plus d’informations sur les requêtes dans l’espace de travail Log Analytics, consultez Analyser les journaux d’activité Microsoft Entra avec Log Analytics.

Exemple de scénario : suivi de l’activité utilisateur dans Microsoft 365 Services Exchange Online et MSGraph

Cet exemple montre comment suivre les actions d’un utilisateur sur les services Microsoft 365 à l’aide d’identificateurs pouvant être liés et de journaux d’audit.

Vue d’ensemble du scénario

Un utilisateur effectue la séquence d’actions suivante :

  1. Se connecte à Office.com L’utilisateur lance une authentification interactive, générant un jeton racine. Ce jeton inclut des identificateurs pouvant être liés, tels que l’ID de session (SID) et l’identificateur de jeton unique (UTI), qui sont propagés aux jetons suivants.

  2. Accède à Microsoft Graph L’utilisateur interagit avec les API Microsoft Graph pour récupérer ou modifier des données organisationnelles. Chaque requête est consignée dans les journaux d’activité Microsoft Graph, avec le SID et l’UTI associés, ce qui permet de revenir à l’événement de connexion d’origine.

  3. Utilise Exchange Online (Outlook) L’utilisateur ouvre Outlook via Exchange Online et effectue des opérations de boîte aux lettres telles que la lecture, le déplacement ou la suppression d’e-mails. Ces actions sont capturées dans les journaux d’audit Exchange Online, qui incluent également les mêmes identificateurs pouvant être liés.

En utilisant le SID, les analystes peuvent suivre toutes les activités entre les services provenant de la même session. Vous pouvez également utiliser l’UTI pour identifier les actions liées à un jeton d’accès spécifique.

  1. Recherchez la ligne de journal de connexion interactive dans les journaux de connexion et capturez SessionId :

    Capture d’écran de la ligne de journal de connexion interactive avec l’ID de session.

  2. Ajoutez un filtre par SessionId. Vous pouvez obtenir le SessionId pour les connexions interactives ou non interactives.

    Connexions interactives :

    Capture d’écran des connexions interactives filtrées par ID de session.

    Connexions non interactives :

    Capture d’écran des connexions non interactives filtrées par ID de session.

  3. Pour obtenir toutes les activités sur la charge de travail Microsoft Graph effectuées par l’utilisateur dans cette session spécifique, accédez à Log Analytics dans le Centre d’administration Microsoft Entra et exécutez la requête pour rejoindre les journaux de connexion Microsoft Entra et les journaux d’activité Microsoft Graph. La requête suivante filtre par UserId et SessionId.

    Capture d’écran des activités Microsoft Graph filtrées par ID d’utilisateur et ID de session.

    Vous pouvez effectuer un filtrage supplémentaire sur un attribut SignInActivityId (revendication uti) pour en savoir plus sur l’accès pour une demande spécifique.

  4. Pour obtenir des activités Exchange Online, ouvrez le portail Microsoft Purview et recherchez par utilisateurs ou types d’enregistrements.

    Capture d’écran du portail Microsoft Purview montrant la recherche par utilisateurs ou types d’enregistrements.

  5. Exportez les données.

    Capture d’écran de l’exportation de données dans le portail Microsoft Purview.

  6. L’entrée de journal contient tous les identificateurs pouvant être liés. Vous pouvez rechercher par UniqueTokenId pour chaque activité unique et par AADSessionId pour toutes les activités de la session.

    Capture d’écran de la ligne de journal avec des identificateurs pouvant être liés.

Identificateurs pouvant être liés dans les journaux d’audit Microsoft SharePoint Online

Les journaux d’audit Microsoft SharePoint Online fournissent une piste d’audit complète de toutes les demandes traitées par le service SharePoint Online pour un locataire. Ces journaux capturent un large éventail d’activités utilisateur, notamment les opérations telles que la création de fichiers et de dossiers, les mises à jour, les suppressions et les modifications de liste. Pour obtenir une vue d’ensemble détaillée de la journalisation d’audit SharePoint Online, consultez journaux d’audit SharePoint Online.

Scénarios d’investigation utilisant des identificateurs pouvant être liés

Pour les scénarios impliquant une activité SharePoint Online, vous pouvez :

  • Commencez par des identificateurs pouvant être liés à partir des journaux de connexion Microsoft Entra, tels que SID ou UTI.
  • Utilisez ces identificateurs pour rechercher les journaux d’audit Microsoft Purview (Standard) ou Audit (Premium).
  • Effectuez le suivi de toutes les actions utilisateur effectuées dans SharePoint Online pendant une session spécifique ou par un jeton spécifique.

Cette approche permet aux analystes de sécurité de mettre en corrélation les événements d’authentification avec l’activité SharePoint, en prenant en charge une investigation et une réponse efficaces aux menaces potentielles.

Pour obtenir des conseils sur la recherche dans les journaux d’audit SharePoint Online, consultez Rechercher dans le journal d’audit | Microsoft Learn.

Le tableau ci-dessous montre le mappage entre les identifiants de revendication pouvant être associés et l'attribut du journal d'audit de Microsoft SharePoint Online.

Revendication Nom de l’attribut du journal d’audit Microsoft SharePoint Online
oid UserObjectId
tid Identifiant de l'Organisation
sid AADSessionId dans l’objet Contexte d’accès aux applications
deviceid Identifiant de l'appareil (disponible uniquement pour les appareils inscrits/rattachés à un domaine)
uti UniqueTokenId dans l’objet Contexte d’accès aux applications
iat IssuedAtTime dans l’objet Contexte d’accès aux applications

Afficher les journaux d’audit Microsoft SharePoint Online à l’aide du portail Microsoft Purview

  1. Accédez au portail Microsoft Purview.

  2. Recherchez des journaux d’activité pour une période et une charge de travail spécifiques avec Microsoft SharePoint Online.

    Capture d’écran du portail Microsoft Purview montrant la recherche de journaux d’activité SharePoint Online.

  3. Pour filtrer par types d’enregistrements, les types d’enregistrements pris en charge sont disponibles par les éléments commençant par SharePoint.

    Capture d’écran du portail Microsoft Purview montrant les types d’enregistrements pris en charge pour SharePoint Online.

  4. Vous pouvez affiner davantage votre recherche pour inclure un utilisateur spécifique ou une valeur d'identifiant utilisateur (UTI) à partir des journaux de connexion Microsoft Entra. Vous pouvez filtrer tous les journaux d’activité au sein d’une session avec AADSessionId.

  5. Les résultats de la recherche d’audit affichent toutes les lignes de journal des activités SharePoint Online.

    Capture d’écran du portail Microsoft Purview montrant les résultats du journal d’audit pour SharePoint Online.

  6. Chaque élément de journal affiche tous les identificateurs pouvant être liés.

    Capture d’écran du portail Microsoft Purview montrant l’élément de journal avec des identificateurs pouvant être liés pour SharePoint Online.

  7. Exportez le journal d’audit et examinez une activité spécifique AADSessionId ou UniqueTokenId toutes les activités de Microsoft SharePoint Online.

Identificateurs pouvant être liés dans les journaux d’audit Microsoft Teams

Les journaux d’audit Microsoft Teams capturent un enregistrement détaillé de toutes les demandes traitées par le service Teams pour un locataire. Les activités auditées incluent la création et la suppression d’équipe, les ajouts de canal et les suppressions, ainsi que les modifications apportées aux paramètres de canal.

Pour obtenir la liste complète des activités Teams auditées, consultez les activités Teams dans le journal d’audit. Pour plus d’informations sur les journaux d’audit Teams, consultez Journaux d’audit Teams. Pour plus d’informations sur la recherche dans les journaux d’audit Teams, consultez Rechercher dans le journal d’audit.

Scénarios d’investigation utilisant des identificateurs pouvant être liés

Pour examiner l’activité Teams :

  • Commencez par des identificateurs pouvant être liés à partir des journaux de connexion Microsoft Entra, tels que SID ou UTI.
  • Utilisez ces identificateurs pour rechercher les journaux d’audit Microsoft Purview (Standard) ou Audit (Premium).
  • Surveillez les actions des utilisateurs au cours des sessions Teams, y compris les opérations d'équipe et de canal.

Le tableau ci-dessous montre le mappage entre les revendications d’identificateur pouvant être liées et l’attribut du journal d’audit Teams.

Revendication Nom de l’attribut Teams du journal d’audit
oid Clé utilisateur
tid Identifiant de l'Organisation
sid AADSessionId dans l’objet Contexte d’accès aux applications
deviceid Identifiant de l'appareil (disponible uniquement pour les appareils inscrits/rattachés à un domaine)
uti UniqueTokenId dans l’objet Contexte d’accès aux applications
iat IssuedAtTime dans l’objet Contexte d’accès aux applications

Examen de l’utilisation incorrecte des jetons dans Microsoft Teams et SharePoint Online

En cas d’incident de sécurité où un jeton d’accès est compromis, par exemple par le biais d’un hameçonnage, puis utilisé par un acteur malveillant, les administrateurs de locataires doivent prendre des mesures immédiates pour contenir la menace et examiner son impact.

Après avoir révoqué toutes les sessions et jetons d’utilisateur actifs, les administrateurs peuvent commencer une enquête légale pour déterminer l’étendue de l’activité non autorisée. Plus précisément, ils peuvent avoir besoin d’identifier les actions effectuées par l’attaquant dans Microsoft Teams et SharePoint Online pendant la période affectée.

À l’aide d’identificateurs pouvant être liés tels que l’ID de session (SID) et l’identificateur de jeton unique (UTI) à partir des journaux de connexion Microsoft Entra, les administrateurs peuvent mettre en corrélation et suivre l’activité dans les journaux d’audit Microsoft Purview (Standard) et Audit (Premium). Cela permet une visibilité sur les points suivants :

Actions liées à Teams telles que la création d’équipe ou de canal, la suppression ou les modifications de configuration. Opérations SharePoint Online, notamment l’accès aux fichiers, la création, la modification ou la suppression.

  1. Commencez par rechercher dans les journaux d'authentification Microsoft Entra l’ID de session de ce jeton d’accès en filtrant les résultats autour du moment où le jeton a été hameçonné et en fonction de l’objectId utilisateur.

    Capture d’écran du portail Microsoft Purview montrant un élément de journal avec des identificateurs cliquables pour le scénario de Teams.

  2. Déterminez les identificateurs pouvant être liés à partir des journaux de connexion Microsoft Entra, tels que SID ou UTI, à utiliser comme filtre sur les journaux d’audit Teams et SharePoint Online.

  3. Dans le portail Purview, recherchez les journaux d’activité avec une période spécifique pour les charges de travail telles que Teams et SharePoint Online, et pour l’utilisateur spécifique.

    Capture d’écran du portail Microsoft Purview montrant la recherche de journaux d’activité pour la charge de travail SharePoint et Teams.

  4. La recherche retourne toutes les entrées du journal d’audit dans ce délai, filtrées par l’utilisateur et par des charges de travail telles que Teams et SharePoint Online.

    Capture d’écran du portail Microsoft Purview montrant les résultats des journaux d'activité de SPO et Teams.

  5. L'administrateur peut voir toute la piste des journaux d'audit concernant la connexion des utilisateurs à l'équipe et constater que l'acteur malveillant a effectué plusieurs activités telles que l'ajout d'utilisateurs spécifiques à un canal Teams, la publication d'un message de phishing, la suppression de fichiers de SharePoint et l'ajout de fichiers, etc.

  6. Chaque élément de journal peut être ouvert pour obtenir des informations détaillées sur les identificateurs pouvant être liés. Vous trouverez ci-dessous un exemple de publication d’un message par l’utilisateur.

    Capture d’écran du portail Microsoft Purview montrant l’élément de log pour Teams et SPO.

  7. Vous trouverez ci-dessous un exemple de téléchargement d’un fichier à partir de SharePoint Online.

    Capture d’écran du portail Microsoft Purview montrant la recherche d’élément de journalisation pour Teams et SPO.

  8. Exportez le journal d’audit et examinez une SessionId ou UniqueTokenId plusieurs activités spécifiques. L’image ci-dessous montre toutes les opérations qui ont été effectuées par l’attaquant.

    Capture d’écran du portail Microsoft Purview montrant la recherche dans les journaux d’activité exportés.

En analysant les fichiers journaux avec des identificateurs liés, les administrateurs client et les professionnels de la sécurité peuvent suivre, analyser et répondre efficacement aux activités malveillantes à travers les sessions et les jetons.

Contenu connexe

Journaux de connexion Microsoft Entra
Journaux d’audit Teams
Journaux d’audit SharePoint Online
Journaux d’activité Microsoft Graph