Audit de Microsoft Purview (Premium)

  • Article

La fonctionnalité d'Audit de Microsoft Purview offre aux organisations une visibilité dans de nombreux types d’activités auditées dans différents services de Microsoft 365. Microsoft Purview Audit (Premium) aide les organisations à mener des enquêtes d’investigation et de conformité en augmentant la rétention des journaux d’audit requise pour mener une enquête, en donnant accès à des insights intelligents (à l’aide de la recherche dans les journaux d’audit dans le portail de conformité Microsoft Purview et le Office 365 API d’activité de gestion) qui permettent de déterminer l’étendue de la compromission et un accès plus rapide à Office 365 API d’activité de gestion.

Remarque

Audit (Premium) est disponible pour les organisations disposant d’un abonnement Office 365 E5/A5/G5 ou Microsoft 365 Entreprise E5/A5/G5. Une licence du module complémentaire de conformité Microsoft 365 E5/A5/G5 ou d'eDiscovery et d'Audit E5/A5/G5 doit être attribuée aux utilisateurs pour les fonctions d'Audit (Premium) telles que la conservation à long terme des journaux d'audit et la génération d'événements d’Audit (Premium) pour les enquêtes. Pour plus d’informations sur les licences, consultez les conditions d’abonnement pour Audit (Premium) et eDiscovery.

Cet article fournit une vue d’ensemble des fonctionnalités d’Audit (Premium) et vous montre comment configurer des utilisateurs pour l’Audit (Premium).

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Conservation à long terme des journaux d’audit

Audit (Premium) conserve tous les enregistrements d’audit Exchange, SharePoint et Microsoft Entra pendant un an. Pour ce faire, une stratégie de rétention du journal d’audit par défaut conserve tout enregistrement d’audit qui contient la valeur d’AzureActiveDirectory, Exchange, OneDrive ou SharePoint pour la propriété Workload (qui indique le service dans lequel l’activité s’est produite) pendant un an. La rétention d’enregistrements d’audit sur des périodes plus longues peut vous aider à effectuer des investigations de conformité ou de vérification en cours. Pour plus d’informations, voir la section « Stratégie de rétention du journal d’audit par défaut » dans Gérer les stratégies de rétention du journal d’audit.

En plus des fonctionnalités de rétention d’un an de l’audit (Premium), nous avons également publié la possibilité de conserver les journaux d’audit pendant 10 ans. La rétention de 10 ans des journaux d’audit permet de faciliter les investigations de longue durée et de répondre aux obligations réglementaires, légales et internes.

Remarque

La rétention des journaux d’audit pendant 10 ans nécessite une licence supplémentaire de complément par utilisateur. Une fois que cette licence est attribuée à un utilisateur et qu'une stratégie appropriée de conservation des journaux d'audit pendant 10 ans est définie pour cet utilisateur, les journaux d'audit couverts par cette stratégie commenceront à être conservés pendant la période de 10 ans. Cette stratégie n'est pas rétroactive et ne peut pas conserver les journaux d'audit qui ont été générés avant la création de la stratégie de conservation des journaux d'audit pendant 10 ans. Pour plus d’informations, consultez la section FAQ sur l’Audit (Premium) de cet article.

Stratégies de rétention du journal d'audit

Tous les enregistrements d’audit générés dans d’autres services qui ne sont pas couverts par la stratégie de rétention du journal d’audit par défaut (décrite dans la section précédente) sont conservés pendant 180 jours. Toutefois, vous pouvez créer des stratégies de rétention de journal d’audit personnalisées pour retenir d'autres enregistrements d’audit pendant 10 ans. Vous pouvez créer une stratégie pour conserver les enregistrements d’audit basés sur un ou plusieurs critères énumérés ci-après :

  • Service Microsoft 365 dans lequel les activités auditées ont lieu.
  • Activités auditées spécifiques.
  • L’utilisateur effectuant une activité auditée.

Importante

La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours.

Vous pouvez également spécifier la durée de conservation des enregistrements d’audit qui correspondent à la stratégie et à un niveau de priorité afin que des stratégies spécifiques prennent la priorité sur d’autres stratégies. Notez également que toute stratégie de rétention de journal d’audit personnalisée est prioritaire sur la stratégie de rétention d’audit par défaut si vous avez besoin de conserver les enregistrements d’audit Exchange, SharePoint ou Azure Active Directory pendant moins d’un an (ou pendant 10 ans) pour certains ou tous les utilisateurs de votre organization. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.

Importante

La durée de vie de l’élément d’audit pour les données est déterminée lorsqu’elles sont ajoutées au pipeline d’audit et est basée sur les paramètres de licence par défaut ou les stratégies de rétention applicables. Toute modification apportée aux licences ou aux stratégies de rétention applicables modifie le délai d’expiration des données d’audit après la mise à jour. Ces modifications ne modifient aucun élément précédemment commité.

Événements d’Audit (Premium)

L’Audit (Premium) aide les organisations à mener des enquêtes de conformité et d’investigation en fournissant l’accès à des événements importants tels que l’accès aux éléments de messagerie, la réponse et le transfert des éléments de courrier, ainsi que le moment et ce qu’un utilisateur a recherchés dans Exchange Online et SharePoint Online. Ces événements peuvent vous aider à identifier les violations possibles et déterminer l’étendue de la compromission. En plus de ces événements dans Exchange et SharePoint, il existe des événements dans d’autres services Microsoft 365 qui sont considérés comme des événements importants et qui nécessitent que les utilisateurs reçoivent la licence d’Audit (Premium) appropriée. Les utilisateurs doivent se voir attribuer une licence d’audit (Premium) afin que les journaux d’audit soient générés lorsque les utilisateurs effectuent ces événements.

L’Audit (Premium) fournit les événements suivants :

MailItemsAccessed

L’événement MailItemsAccessed est une action d’audit de boîte aux lettres qui est déclenchée lorsque les données de courrier sont consultées par les protocoles de messagerie et les clients de messagerie. Cet événement peut aider les enquêteurs à identifier les violations de données et à mesurer l’étendue des messages susceptibles d’être compromis. Si un attaquant a obtenu l’accès aux messages électroniques, l’action MailItemsAccessed est déclenchée même s’il n’existe aucun signal explicite indiquant que les messages ont été réellement lus (en d’autres termes, le type d’accès, tel qu’une liaison ou une synchronisation, est enregistré dans l’enregistrement d’audit).

L’événement MailItemsAccessed remplace MessageBind dans la journalisation d’audit des boîtes aux lettres dans Exchange Online et offre ces améliorations:

  • MessageBind n’était configurable que pour le type d’ouverture de session utilisateur AuditAdmin ; elle ne s’appliquait pas aux actions déléguées ou propriétaires. MailItemsAccessed s’applique à tout type d’ouverture de session.
  • MessageBind ne prenait en charge que l'accès à un client de messagerie. Il ne s’appliquait pas aux activités synchrones. Les événements MailItemsAccessed sont déclenchés par les types d’accès BIND et synchrone.
  • Les actions MessageBind déclencheraient la création de plusieurs enregistrements d’audit lors de l’accès au même e-mail, ce qui entraînerait un audit « retentissant ». En revanche, les événements MailItemsAccessed sont regroupés dans un nombre réduit d’enregistrements d’audit.

Pour plus d’informations sur les enregistrements d’audit pour les activités MailItemsAccessed, consultez Utiliser l’Audit (Premium) pour examiner les comptes compromis.

Pour rechercher des enregistrements d’audit MailItemsAccessed, vous pouvez rechercher les activités d’Accès aux éléments de boîte aux lettres dans la liste déroulante des Activités de boîte aux lettres Exchange dans l’outil de recherche de journal d’audit dans le portail de conformité.

Recherche d’actions MailItemsAccessed dans l’outil de recherche du journal d’audit.

Vous pouvez également exécuter la commande Search-UnifiedAuditLog -Operations MailItemsAccessed ou Search-MailboxAuditLog -Operations MailItemsAccessed dans Exchange Online PowerShell.

Envoyer

L’événement Envoi est également une action d’audit de boîte aux lettres qui est déclenchée lorsqu’un utilisateur effectue l’une des actions suivantes:

  • Envoie un message électronique
  • Répond à un message électronique
  • Transfert un message électronique

Les investigateurs peuvent utiliser l’événement Envoi pour identifier les messages envoyés à partir d’un compte compromis. L’enregistrement d’audit d’un événement Envoi contient des informations sur le message, par exemple, la date d’envoi du message, l’ID InternetMessage, la ligne d’objet et si le message contient des pièces jointes. Ces informations d’audit peuvent aider les investigateurs à identifier les informations relatives aux messages électroniques envoyés à partir d’un compte compromis ou envoyés par un intrus. De plus, les investigateurs peuvent utiliser un outil eDiscovery Microsoft 365 pour rechercher le message (à l’aide de la ligne d’objet ou de l’ID de message) pour identifier les destinataires du message et le contenu réel du message envoyé.

Pour rechercher des enregistrements d’audit d’envoi, vous pouvez rechercher l’activité Message envoyé dans la liste déroulante Activités de boîte aux lettres Exchange dans l’outil de recherche du journal d’audit dans le portail de conformité.

Recherche d’actions de Message envoyé dans l’outil de recherche du journal d’audit.

Vous pouvez également exécuter les commandes Search-UnifiedAuditLog -Operations Send ou Search-MailboxAuditLog -Operations Send dans Exchange Online PowerShell.

SearchQueryInitiatedExchange

L’événement SearchQueryInitiatedExchange se déclenche lorsqu’une personne utilise Outlook pour rechercher des éléments dans une boîte aux lettres. Des événements se déclenchent lorsque vous effectuez des recherches dans les environnements Outlook suivants :

  • Outlook (client de bureau)
  • Outlook sur le web (OWA)
  • Outlook pour iOS
  • Outlook pour Android
  • Application Courrier pour Windows 10

Les investigateurs peuvent utiliser l’événement SearchQueryInitiatedExchange pour déterminer si un intrus qui a compromis un compte a recherché ou essayé d’accéder à des informations sensibles dans la boîte aux lettres. L’enregistrement d’audit d’un événement SearchQueryInitiatedExchange contient des informations telles que le texte de la requête de recherche. L’enregistrement d’audit indique également l’environnement Outlook où vous avez effectué la recherche. En examinant les requêtes de recherche qu’un intrus peut avoir effectué, un investigateur peut mieux comprendre l’objectif des données de messagerie qui ont été recherchées.

Pour rechercher les enregistrements d’audit SearchQueryInitiatedExchange, vous pouvez rechercher l’activité de recherche d’e-mails effectuée dans la liste déroulante Activités de recherche de l’outil de recherche dans le journal d’audit du portail de conformité.

Recherche d’actions de Recherche d’e-mail effectuée dans l’outil de recherche du journal d’audit.

Vous pouvez également exécuter le Search-UnifiedAuditLog-Operations SearchQueryInitiatedExchange dans Exchange Online PowerShell.

Remarque

Vous devez activer la journalisation de SearchQueryInitiatedExchange pour pouvoir rechercher cet événement dans le journal d'audit. Pour obtenir des instructions, consultez Configurer l’audit (Premium).

SearchQueryInitiatedSharePoint

À l’instar de la recherche d’éléments de boîte aux lettres, l’événement SearchQueryInitiatedSharePoint se déclenche lorsqu’une personne recherche des éléments dans SharePoint. Les événements sont déclenchés lorsque des recherches sont effectuées sur la racine ou la page par défaut des types de sites SharePoint suivants :

  • Sites d’accueil
  • Sites de communication
  • Sites concentrateurs
  • Sites associés à Microsoft Teams

Les investigateurs peuvent utiliser l’événement SearchQueryInitiatedSharePoint pour déterminer si un intrus a essayé de rechercher des informations sensibles (et éventuellement y a accédé) dans SharePoint. L’enregistrement d’audit d’un événement SearchQueryInitiatedSharePoint contient également le texte de la requête de recherche. L’enregistrement d’audit indique également le type de site SharePoint où vous avez effectué la recherche. En examinant les requêtes de recherche qu’un intrus peut avoir effectué, un investigateur peut mieux comprendre l’objectif et l’étendue des données de fichiers qui ont été recherchées.

Pour rechercher les enregistrements d’audit SearchQueryInitiatedSharePoint, vous pouvez rechercher l’activité de recherche SharePoint effectuée dans la liste déroulante Activités de recherche de l’outil de recherche dans le journal d’audit du portail de conformité.

Recherche d’actions de Recherche SharePoint effectuée dans l’outil de recherche du journal d’audit.

Vous pouvez également exécuter le Search-UnifiedAuditLog-Operations SearchQueryInitiatedSharePoint dans Exchange Online PowerShell.

Remarque

Vous devez activer la journalisation de SearchQueryInitiatedSharePoint pour pouvoir rechercher cet événement dans le journal d'audit. Pour obtenir des instructions, consultez Configurer l’audit (Premium).

Autres événements d’Audit (Premium) dans Microsoft 365

Outre les événements dans Exchange Online et SharePoint Online, il existe des événements dans d’autres services Microsoft 365 qui sont enregistrés lorsque les utilisateurs reçoivent la licence d’Audit (Premium) appropriée. Les services Microsoft 365 suivants fournissent des événements d’Audit (Premium). Sélectionnez un lien vers le lien correspondant pour accéder à un article qui identifie et décrit ces événements.

Accès haut débit à l’API Activité de gestion Office 365

Les organisations ayant accès à des journaux d’audit via l’API Activité de gestion Office 365 étaient restreintes par des seuils de limitation au niveau de l’éditeur. Cela signifie que pour un éditeur faisant une extraction de données pour le compte de plusieurs clients, la limite était partagée par tous les clients.

Avec la publication de l’Audit (Premium), nous passons d’une limite de niveau éditeur à une limite au niveau du client. Le résultat est que chaque organization obtient son propre quota de bande passante entièrement alloué pour accéder à ses données d’audit. La bande passante n’est pas une limite statique prédéfinie, mais elle est modélisée sur une combinaison de facteurs, notamment le nombre de sièges dans le organization et que les organisations E5/A5/G5 obtiennent plus de bande passante que les organisations non E5/A5/G5.

Les organisations reçoivent une ligne de base de 2 000 demandes par minute. Cette limite augmentera de façon dynamique en fonction du nombre de sièges d’une organisation et du nombre de licences dans son abonnement. Les organisations E5/A5/G5 obtiennent environ deux fois plus de bande passante que les organisations non E5/A5/G5. La bande passante maximale est limitée pour protéger l’intégrité du service.

Pour plus d’informations, consultez la rubrique « Limitation de l'API » dans la Référence de l’API Activité de gestion Office 365.

FAQ sur l’Audit (Premium)

Est-ce que chaque utilisateur a besoin d’une licence E5/A5/G5 pour bénéficier de l’Audit (Premium) ?

Pour tirer parti des fonctionnalités d’Audit (Premium) de niveau utilisateur, il doit se voir attribuer une licence E5/A5/G5. Certaines fonctionnalités case activée pour la licence appropriée afin d’exposer la fonctionnalité pour l’utilisateur. Par exemple, si vous essayez de conserver les enregistrements d’audit d’un utilisateur à qui la licence appropriée n’est pas attribuée pendant plus de 180 jours, le système retourne un message d’erreur.

Importante

La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours.

Mon organisation dispose d’un abonnement E5/A5/G5, dois-je faire quoi quelque chose pour accéder aux enregistrements d’audit pour les événements d’Audit (Premium) ?

Pour les clients éligibles et les utilisateurs auxquels la licence E5/A5/G5 appropriée est attribuée, aucune action n’est nécessaire pour accéder aux événements Audit (Premium), à l’exception de l’activation des événements SearchQueryInitiatedExchange et SearchQueryInitiatedSharePoint (comme décrit précédemment dans cet article). Les événements d’Audit (Premium) ne seront générés que pour les utilisateurs disposant de licences E5/A5/G5 une fois ces licences attribuées.

Les nouveaux événements de l’Audit (Premium) sont-ils disponibles dans l’API Activité de gestion Office 365 ?

Oui. Tant que les enregistrements d’audit sont générés pour les utilisateurs disposant de la licence appropriée, vous pourrez accéder à ces enregistrements via l’API Activité de gestion Office 365.

Qu’arrive-t-il aux données du journal d’audit de mon organisation si je crée une stratégie de rétention du journal d’audit de 10 ans lorsque la fonctionnalité est publiée pour la disponibilité générale, mais avant que la licence de composant additionnel requise ne soit disponible ?

Toutes les données de journal d’audit couvertes par une stratégie de rétention du journal d’audit de 10 ans que vous créez après la mise à disposition générale de la fonctionnalité au dernier trimestre de 2020 sont conservées pendant 10 ans. Cela inclut les stratégies de rétention du journal d’audit de 10 ans qui ont été créées avant que la licence de composant additionnel requise ne soit disponible à l’achat en mars 2021. Toutefois, étant donné que la licence de composant additionnel de rétention du journal d’audit de 10 ans est désormais disponible, vous devez acheter ces licences de composant additionnel et les attribuer à tous les utilisateurs dont les données d’audit sont couvertes par une stratégie de rétention d’audit de 10 ans.