Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Administrateur client consommateur — Administrateur de conformité / Administrateur de la sécurité / Lecteur d’audit
Passez en revue l’activité d’audit SharePoint Embedded dans l’audit Microsoft Purview lors de l’examen de l’activité de l’utilisateur, de l’administrateur, du fichier ou du conteneur.
Les fonctionnalités d’audit SharePoint Embedded miroir fonctionnalités d’audit SharePoint existantes, et les opérations utilisateur et administrateur effectuées dans les applications SharePoint Embedded sont capturées dans le journal d’audit unifié du organization.
Importante
Utilisez l’audit Microsoft Purview comme surface d’investigation faisant autorité pour les enregistrements d’audit. Utilisez des identificateurs d’application et de conteneur SharePoint Embedded pour limiter les résultats au contenu incorporé.
Avant de commencer
Confirmez ces prérequis.
- L’audit est disponible pour votre organization Microsoft 365.
- Vous pouvez accéder à l’audit Microsoft Purview avec les autorisations de conformité requises.
- Vous connaissez la plage de dates de l’enquête.
- Vous connaissez l’application SharePoint Embedded, le conteneur, l’utilisateur ou le fichier impliqué.
- Vous pouvez obtenir les détails du conteneur à partir du Centre d’administration SharePoint ou de PowerShell si nécessaire.
Pour connaître les fonctionnalités de conformité SharePoint Embedded prises en charge, consultez Sécurité et conformité.
Comprendre la couverture d’audit SharePoint Embedded
Fonctionnalités d’audit dans SharePoint Embedded miroir fonctionnalités d’audit SharePoint existantes.
Les opérations utilisateur et administrateur effectuées dans les applications hébergées dans SharePoint Embedded sont capturées, enregistrées et conservées dans le journal d’audit unifié.
L’audit peut vous aider à répondre à des questions telles que :
- Qui a accédé à un fichier ?
- Qui a modifié le contenu ?
- Qui a supprimé ou restauré le contenu ?
- Quel administrateur a modifié les paramètres du conteneur ?
- Quel conteneur a été impliqué dans un événement ?
- Quel type de conteneur a été impliqué dans un événement ?
La conservation et la disponibilité dépendent de la gestion des licences et de la configuration de votre audit Microsoft Purview.
Pour plus d’informations sur la plateforme d’audit, consultez Audit des solutions dans Microsoft Purview.
Identifier les champs SharePoint Embedded
En plus des propriétés de fichier SharePoint existantes, les événements d’audit SharePoint Embedded incluent des données supplémentaires qui permettent d’isoler le contenu SharePoint Embedded.
Les événements d’audit SharePoint Embedded incluent les champs suivants :
| Field | Utilisez-la pour |
|---|---|
ContainerInstanceId |
Identifiez le conteneur SharePoint Embedded spécifique instance impliqué dans l’événement. |
ContainerTypeId |
Identifiez le type de conteneur SharePoint Embedded impliqué dans l’événement. |
Utilisez ces champs avec l’application et le contexte utilisateur pour étendre une investigation.
Si un jeu de résultats inclut une activité SharePoint et SharePoint Embedded standard, filtrez ou inspectez ces champs pour isoler le contenu incorporé.
Activités d’audit SharePoint Embedded
Pour afficher toutes les activités du journal d’audit SharePoint Embedded, voir Événements d’audit.
Les événements de type de conteneur incluent la ContainerTypeId propriété . Contrairement aux événements de fichier au niveau du conteneur, ils n’incluent ContainerInstanceId pas, car ils s’appliquent au niveau du type, et non à un conteneur individuel instance.
Vous pouvez effectuer une recherche dans ces événements avec l’applet de Search-UnifiedAuditLog commande . Par exemple :
Search-UnifiedAuditLog -Operations ContainerTypeCreated,ContainerTypeDeleted,ContainerTypeUpdated,ContainerTypeOwnersUpdated -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date)
Obtenir le contexte de conteneur
Avant de rechercher l’audit, collectez le contexte dont vous disposez.
- Identifiez le nom de l’application SharePoint Embedded.
- Identifiez l’ID d’application propriétaire lorsqu’il est disponible.
- Identifiez le nom du conteneur ou l’ID de conteneur.
- Identifiez l’URL du site conteneur lorsqu’elle est disponible.
- Identifiez les utilisateurs, les groupes ou les identités d’application impliqués.
- Identifiez la période.
- Identifiez l’opération suspecte, telle que la lecture, la mise à jour, la suppression, la restauration, le partage ou la modification d’étiquette.
Utilisez Gérer les conteneurs dans le Centre d’administration SharePoint pour inspecter les détails du conteneur.
Utilisez Gérer les conteneurs avec PowerShell pour récupérer les ID et URL de conteneur pour des investigations reproductibles.
Rechercher dans l’audit Microsoft Purview
Utilisez l’audit Microsoft Purview pour rechercher l’activité.
- Ouvrez le portail Microsoft Purview.
- Accédez à la solution d’audit.
- Choisissez la plage de date et d’heure.
- Ajoutez des utilisateurs ou des identités d’application lorsqu’elles sont connues.
- Ajoutez des activités qui correspondent à l’examen.
- Rechercher des activités liées à SharePoint lors de l’examen du contenu du fichier et du conteneur.
- Utilisez les activités SharePoint Embedded Container Type ou Les activités d’inscription de type de conteneur Incorporé SharePoint lorsque vous savez que l’investigation concerne la configuration de l’application ou l’administration du type de conteneur.
- Exécutez la recherche.
- Ouvrez les résultats pertinents.
- Inspectez les détails de l’événement pour les champs SharePoint Embedded tels que
ContainerInstanceIdetContainerTypeId.
Utilisez les filtres les plus restrictifs qui capturent toujours l’incident.
Ensuite, élargissez la recherche si les résultats sont incomplets.
Conseil
Commencez par un intervalle de temps étroit et des utilisateurs connus. Développez les identificateurs de conteneur ou l’activité SharePoint plus large si la première recherche ne retourne pas suffisamment de contexte.
Interpréter les détails de l’événement
Lors de l’examen d’un événement, capturez les champs nécessaires pour l’enregistrement d’investigation.
| Détails de l’événement | Pourquoi cela se produit-il |
|---|---|
| Opération ou activité | Décrit ce qui s’est passé. |
| Utilisateur ou acteur | Identifie qui a effectué l’action. |
| Timestamp | Places l’événement sur le chronologie d’enquête. |
| Chemin d’accès à l’objet ou au fichier | Identifie l’élément affecté. |
| URL de site ou de conteneur | Permet de mapper l’élément à un conteneur. |
ContainerInstanceId |
Lie l’événement à un conteneur SharePoint Embedded spécifique. |
ContainerTypeId |
Lie l’événement à un type de conteneur SharePoint Embedded. |
| Contexte du client ou de l’application | Permet de distinguer l’action de l’utilisateur de l’action d’application lorsqu’elle est disponible. |
Exportez ou conservez les résultats en fonction de votre processus d’examen de conformité.
Scénarios d’audit courants
Utilisez des enregistrements d’audit pour les investigations SharePoint Embedded courantes.
Révision de l’accès au contenu
Recherchez l’accès aux fichiers ou l’activité de lecture par utilisateur, plage de dates et contexte de conteneur.
Utilisez ContainerInstanceId pour confirmer que l’activité s’est produite dans le conteneur SharePoint Embedded attendu.
Révision des modifications de contenu
Rechercher une activité de création, de modification, de renommage, de déplacement ou de suppression.
Passez en revue la séquence d’opérations pour déterminer si le contenu a été modifié par un utilisateur, une application ou un processus administrateur.
Révision du cycle de vie des conteneurs
Recherchez les opérations d’administration liées à la suppression, à la restauration ou à la suppression définitive.
Mettre en corrélation les enregistrements d’audit avec le Centre d’administration SharePoint ou les enregistrements de modification PowerShell.
Révision des étiquettes de confidentialité
Recherchez une activité liée aux étiquettes lors de l’examen des modifications de classification des données.
Mettez en corrélation les enregistrements d’audit avec l’étiquette de confidentialité actuelle du conteneur et toutes les modifications de stratégie dans Microsoft Purview.
Révision du partage externe
Recherchez les activités SharePoint liées au partage lors de l’examen de l’accès en dehors du organization.
Examinez également les paramètres de partage au niveau de l’application lorsque l’application prend en charge le partage externe.
Mettre en corrélation avec eDiscovery et DLP
L’audit montre l’activité.
D’autres outils Microsoft Purview aident à examiner le contenu et à appliquer les stratégies.
- Utilisez eDiscovery pour rechercher, conserver et exporter du contenu dans des conteneurs SharePoint Embedded.
- Utilisez DLP pour identifier et protéger les informations sensibles.
- Utilisez des stratégies de rétention pour conserver ou supprimer du contenu en fonction de la stratégie.
- Utilisez des étiquettes de confidentialité pour classifier et protéger les conteneurs.
Pour des contrôles plus larges, consultez Appliquer des contrôles de sécurité et de conformité.
Résoudre les problèmes liés aux résultats d’audit manquants
Utilisez ces vérifications quand les résultats attendus sont manquants.
- Vérifiez que la plage de dates inclut l’heure de l’activité.
- Vérifiez que l’identité correcte de l’utilisateur ou de l’application a fait l’objet d’une recherche.
- Vérifiez que l’audit est disponible pour le locataire et la charge de travail.
- Vérifiez que l’opération est mappée à SharePoint ou à l’activité de fichier dans l’audit Purview.
- Vérifiez que le contenu se trouve dans un conteneur SharePoint Embedded et non dans un autre emplacement de stockage.
- Recherchez avec moins de filtres, puis inspectez
ContainerInstanceIdetContainerTypeId. - Vérifiez que votre compte dispose des autorisations nécessaires pour rechercher des enregistrements d’audit.
- Consultez la documentation d’audit purview pour connaître la rétention et la latence de recherche.
Remarque
L’affichage des enregistrements d’audit peut prendre du temps.
Si un événement est récent, réessayez après le délai d’ingestion d’audit normal pour votre environnement.
Conserver le contexte d’investigation
Pour chaque investigation, enregistrez :
- Date de la recherche.
- Filtres de recherche.
- Emplacement du résultat exporté.
- Identificateurs de conteneur.
- Identificateurs d’application.
- Utilisateurs ou identités d’application examinés.
- Actions effectuées après examen.
Conservez les enregistrements en fonction de votre conformité et de votre processus juridique.
Contenu connexe
- Appliquer des contrôles de sécurité et de conformité
- Gérer les conteneurs dans le Centre d’administration SharePoint
- Gérer des conteneurs avec PowerShell
- Sécurité et conformité
- Solutions d’audit dans Microsoft Purview
Étapes suivantes
Appliquez des contrôles plus larges dans Appliquer des contrôles de sécurité et de conformité.