Journal daudit O365 : 15 choses à savoir

Cet article décrit la vue d'ensemble du journal d'audit O365 et de ses fonctionnalités pour suivre l'activité des utilisateurs et de l'administration au sein du locataire Microsoft 365, telles que les modifications apportées à leurs paramètres de configuration de locataire Exchange Online et SharePoint Online, et les modifications apportées par les utilisateurs aux documents et autres éléments. Les administrateurs peuvent utiliser les informations d'audit disponibles dans Microsoft 365 pour remplir les obligations de conformité.

1 Audit de la boîte aux lettres

1.1 Vérifier que l'audit de la boîte aux lettres activé par défaut est activé

1.2 Actions de boîte aux lettres pour les boîtes aux lettres du groupe Microsoft 365

1.3 Désactiver l'audit des boîtes aux lettres par défaut

1.4 Journal d'audit

1.5 Activer l'audit

1.5.1 Utiliser PowerShell pour activer l'audit

1.6 Activer l'audit des boîtes aux lettres

1.7 Désactiver l'audit des boîtes aux lettres pour des boîtes aux lettres spécifiques

2 Rapports d'audit en ligne Exchange

3 Powershell des journaux d'audit O365

4 Comment afficher les rapports du journal d'audit dans SharePoint Online ?

5 API des journaux d'audit O365

6 Résumé

Audit de la boîte aux lettres

Microsoft active la journalisation d'audit des boîtes aux lettres par défaut pour toutes les organisations. Cela signifie que certaines actions effectuées par les propriétaires de boîte aux lettres, les délégués et les administrateurs sont automatiquement consignées, et les enregistrements d'audit de boîte aux lettres correspondants seront disponibles lorsque vous les recherchez dans le journal d'audit de la boîte aux lettres. Avant que l'audit des boîtes aux lettres ne soit activé par défaut, vous deviez l'activer manuellement pour chaque boîte aux lettres utilisateur de votre organisation.

Voici quelques avantages de l'audit des boîtes aux lettres activé par défaut :

• L'audit est automatiquement activé lorsque vous créez une nouvelle boîte aux lettres. Vous n'avez pas besoin de l'activer manuellement pour les nouveaux utilisateurs.
• Vous n'avez pas besoin de gérer les actions de boîte aux lettres qui sont auditées. Un ensemble prédéfini d'actions de boîte aux lettres est audité par défaut pour chaque type de connexion (administrateur, délégué et propriétaire).
• Lorsque Microsoft publie une nouvelle action de boîte aux lettres, l'action peut être automatiquement ajoutée à la liste des actions de boîte aux lettres auditées par défaut (sous réserve que l'utilisateur dispose de la licence appropriée). Cela signifie que vous n'avez pas besoin de surveiller l'ajout de nouvelles actions sur les boîtes aux lettres.
• Vous disposez d'une stratégie d'audit de boîte aux lettres cohérente dans l'ensemble de votre organisation (car vous auditez les mêmes actions pour toutes les boîtes aux lettres).

Vérifier que l'audit de la boîte aux lettres activé par défaut est activé

Pour vérifier que l'audit des boîtes aux lettres est activé par défaut pour votre organisation, exécutez la commande suivante dans  Exchange Online PowerShell :

Get-OrganisationConfig | Audit FLDésactivé

La valeur  False  indique que l'audit de boîte aux lettres activé par défaut est activé pour l'organisation. Cette valeur organisationnelle activée par défaut remplace le paramètre d'audit de boîte aux lettres sur des boîtes aux lettres spécifiques. Par exemple, si l'audit de boîte aux lettres est désactivé pour une boîte aux lettres (la  propriété AuditEnabled  est  False  sur la boîte aux lettres), les actions de boîte aux lettres par défaut seront toujours auditées pour la boîte aux lettres, car l'audit de boîte aux lettres activé par défaut est activé pour l'organisation.

Pour garder l'audit de boîte aux lettres désactivé pour des boîtes aux lettres spécifiques, vous configurez le contournement de l'audit de boîte aux lettres pour le propriétaire de la boîte aux lettres et les autres utilisateurs auxquels l'accès à la boîte aux lettres a été délégué. Pour plus d'informations, consultez la  journalisation d'audit de contournement de la boîte aux lettres .

Actions de boîte aux lettres pour les boîtes aux lettres de groupe Microsoft 365

L'audit de boîte aux lettres activé par défaut apporte la journalisation d'audit de boîte aux lettres aux boîtes aux lettres du groupe Microsoft 365, mais vous ne pouvez pas personnaliser ce qui est enregistré (vous ne pouvez pas ajouter ou supprimer des actions de boîte aux lettres qui sont enregistrées pour n'importe quel type de connexion). N'oubliez pas qu'un administrateur disposant d'une autorisation d'accès complet à une boîte aux lettres de groupe Microsoft 365 est considéré comme un délégué.

Désactiver l'audit des boîtes aux lettres par défaut

Vous pouvez désactiver l'audit des boîtes aux lettres par défaut pour l'ensemble de votre organisation en exécutant la commande suivante dans Exchange Online PowerShell :

Set-OrganizationConfig -AuditDisabled $true

La désactivation de l'audit des boîtes aux lettres par défaut a les résultats suivants :

• L'audit des boîtes aux lettres est désactivé pour votre organisation.
• À partir du moment où vous avez désactivé l'audit de boîte aux lettres par défaut, aucune action de boîte aux lettres n'est auditée, même si l'audit est activé sur une boîte aux lettres (la  propriété AuditEnabled  sur la boîte aux lettres est  True ).
• L'audit de boîte aux lettres n'est pas activé pour les nouvelles boîtes aux lettres et la définition de la  propriété AuditEnabled  sur une boîte aux lettres nouvelle ou existante sur  True  sera ignorée.
• Tous les paramètres d'association de contournement d'audit de boîte aux lettres (configurés à l'aide de la  cmdlet Set-MailboxAuditBypassAssociation  ) sont ignorés.
• Les enregistrements d'audit de boîte aux lettres existants sont conservés jusqu'à l'expiration de la limite d'âge du journal d'audit pour l'enregistrement.

Journal d'audit

Pour la conformité dans Microsoft 365, le journal d'audit est probablement l'outil le plus important de tous. Il suit chaque action d'utilisateur et de compte sur tous les services Microsoft 365. Vous pouvez exécuter des rapports sur les suppressions, les partages, les téléchargements, les modifications, les lectures, etc., pour tous les utilisateurs et tous les produits. Vous pouvez également configurer des alertes personnalisées pour recevoir des notifications chaque fois que des activités spécifiques se produisent.

Malgré toute son utilité, la chose la plus étonnante à ce sujet est qu'il n'est pas activé par défaut.

Cela peut être frustrant lorsque vous rencontrez une requête ou un problème qui pourrait facilement être résolu si vous aviez accès aux journaux, seulement pour découvrir qu'ils n'ont jamais été activés en premier lieu. Voici comment l'installer dans votre propre organisation.

Activer l'audit

Vous (ou un autre administrateur) devez activer la journalisation d'audit avant de pouvoir lancer la recherche dans le journal d'audit.

• Accédez au portail de conformité Microsoft Purview .
• Dans le volet de navigation de gauche du portail de conformité, cliquez sur  Audit .
• Si l'audit n'est pas activé pour votre organisation, une bannière s'affiche vous invitant à commencer à enregistrer l'activité des utilisateurs et des administrateurs.

• Cliquez sur la   bannière Commencer à enregistrer l'activité des utilisateurs et des administrateurs . Cela peut prendre jusqu'à 60 minutes pour que le changement prenne effet.

Utiliser PowerShell pour activer l'audit

• Connectez-vous à Exchange Online via PowerShell en tant qu'administrateur .
• Assurez-vous que votre locataire Microsoft 365 est prêt pour le journal d'audit unifié en activant la personnalisation de l'organisation :

Activer la personnalisation de l'organisation

Exécutez la commande suivante pour activer le journal d'audit unifié :

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Activer l'audit des boîtes aux lettres

Pour activer l'audit pour une seule boîte aux lettres, utilisez la commande PowerShell :

Set-Mailbox -Identity "Test 12" -AuditEnabled $true

Pour activer l'audit pour toutes les boîtes aux lettres de votre organisation, utilisez la commande PowerShell :

Get-Mailbox -ResultSize Unlimited -Filter{RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled$true

Pour confirmer si vous avez activé avec succès l'audit ou non, vous devez exécuter la commande " Get-Mailbox " dans Exchange Online. La valeur " True " de la propriété AuditEnabled confirme que vous avez activé avec succès la journalisation d'audit de la boîte aux lettres.

Désactiver l'audit des boîtes aux lettres pour des boîtes aux lettres spécifiques

Actuellement, vous ne pouvez pas désactiver l'audit des boîtes aux lettres pour des boîtes aux lettres spécifiques lorsque l'audit des boîtes aux lettres activé par défaut est activé dans votre organisation. Par exemple, la définition de la   propriété de boîte aux lettres  AuditEnabled sur False  est ignorée.

Toutefois, vous pouvez toujours utiliser la  cmdlet Set-MailboxAuditBypassAssociation  dans Exchange Online PowerShell pour empêcher  la journalisation de toutes les  actions de boîte aux lettres par les utilisateurs spécifiés, quel que soit l'endroit où les actions se produisent. Par exemple:

• Les actions du propriétaire de la boîte aux lettres effectuées par les utilisateurs ignorés ne sont pas consignées.
• Les actions déléguées effectuées par les utilisateurs ignorés sur les boîtes aux lettres d'autres utilisateurs (y compris les boîtes aux lettres partagées) ne sont pas enregistrées.
• Les actions d'administration effectuées par les utilisateurs ignorés ne sont pas enregistrées.

Pour contourner la journalisation d'audit de boîte aux lettres pour un utilisateur spécifique :

Set-MailboxAuditBypassAssociation -Identity "Mailbox" -AuditByPassEnabled $true

Pour vérifier que l'audit est ignoré pour l'utilisateur spécifié, exécutez la commande suivante :

Get-MailboxAuditBypassAssociation "Boîte aux lettres" | fl auditb*

La valeur  True  indique que la journalisation d'audit de la boîte aux lettres est ignorée pour l'utilisateur.

Rapports d'audit en ligne Exchange

Les rapports d'audit Exchange Online incluent des détails sur l'accès aux boîtes aux lettres et les modifications apportées par les administrateurs au locataire Exchange Online d'une organisation.

• Exécuter un rapport d'accès aux boîtes aux lettres non propriétaire : affiche la liste des boîtes aux lettres auxquelles une personne autre que le propriétaire de la boîte aux lettres a accédé. Le rapport contient des informations sur les personnes qui ont accédé à la boîte aux lettres, les actions qu'elles ont effectuées dans la boîte aux lettres et si les actions ont réussi ou non.
• Exporter les journaux d'audit de boîte aux lettres : les journaux d'audit de boîte aux lettres contiennent des informations sur l'accès et les actions dans une boîte aux lettres effectuées par un utilisateur autre que le propriétaire de la boîte aux lettres. Les administrateurs peuvent spécifier des boîtes aux lettres ainsi qu'une plage de dates pour générer des rapports. Les journaux sont exportés au format XML, joints à un message et envoyés à des utilisateurs spécifiques déterminés par l'administrateur.
• Exécuter un rapport de groupe de rôle administrateur : Le groupe de rôle administrateur est utilisé pour attribuer des privilèges administratifs aux utilisateurs. Ces privilèges permettent aux utilisateurs d'effectuer des tâches administratives telles que la réinitialisation des mots de passe, la création ou la modification de boîtes aux lettres et l'attribution de privilèges d'administrateur à d'autres utilisateurs. Le rapport sur les groupes de rôles d'administrateur affiche les modifications apportées aux groupes de rôles, y compris l'ajout ou la suppression de membres.
• Afficher le journal d'audit de l'administrateur : le rapport du journal d'audit de l'administrateur répertorie toutes les fonctions de création, de mise à jour et de suppression exécutées par les administrateurs dans Exchange Online. Les entrées de journal fournissent des informations sur l'applet de commande qui a été exécutée, les paramètres utilisés, qui a exécuté l'applet de commande et les objets qui ont été affectés.
• Exporter le journal d'audit de l'administrateur : le journal d'audit de l'administrateur enregistre des actions administratives spécifiques telles que la création, la mise à jour et la suppression dans Exchange Online. Les résultats du journal sont exportés vers XML et les administrateurs peuvent choisir d'envoyer ce journal à un ensemble d'utilisateurs.
• Afficher et exporter le journal d'audit de l'administrateur externe : contient les détails des actions effectuées par les administrateurs externes. Les entrées fournissent des informations sur la cmdlet exécutée, les paramètres utilisés et toutes les actions qui créent, modifient ou suppriment des objets dans Exchange Online.

Powershell des journaux d'audit O365

Pour rechercher un audit de boîte aux lettres :

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

Pour exporter les résultats dans un fichier CSV :

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | Export-Csv C:\users\AuditLogs.csv -NoTypeInformation

Pour afficher et exporter les journaux en fonction des opérations :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete, Move, MoveToDeletedItems, SoftDelete -LogonTypes Admin, Delegate, Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Pour afficher et exporter les journaux en fonction des types de connexion :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Pour effectuer une recherche dans le journal d'audit unifié :

Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

Pour exporter certaines propriétés du journal d'audit unifié dans un fichier CSV :

$journalaudit | Select-Object -Property CreationDate, UserIds, RecordType, AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Pour afficher les modifications des règles de transport :

Search-AdminAuditLog -Cmdlets Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021

Pour afficher les modifications apportées aux filtres anti-spam  :

Search-AdminAuditLog -Cmdlets Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate
31/01/2021

Pour vérifier les modifications du filtre de connexion :

Search-AdminAuditLog -Cmdlets Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021

Comment afficher les rapports du journal d'audit dans SharePoint Online ?

L'audit de votre environnement SharePoint Online vous aide à rester en sécurité et à répondre aux exigences des conformités réglementaires. Pour afficher les rapports d'audit fournis par votre outil natif SharePoint Online :

• Connectez-vous à SharePoint Online.
• Cliquez sur l'icône de paramètre Paramètres, puis cliquez sur Paramètres du site.
• Cliquez sur Rapports du journal d'audit dans la section Administration de la collection de sites.
• Sélectionnez le rapport (tel que Suppression) souhaité dans la page Afficher les rapports d'audit.
• Saisissez une URL ou accédez à la bibliothèque dans laquelle vous souhaitez enregistrer le rapport, puis cliquez sur OK.
• Sur la page Opération terminée avec succès, sélectionnez Cliquez ici pour afficher ce rapport.

Les rapports du journal d'audit SharePoint vous permettent d'analyser toutes les activités de votre environnement SharePoint.

API des journaux d'audit O365

Microsoft fournit des services de création de rapports qui permettent aux administrateurs d'obtenir des informations transactionnelles agrégées sur leur locataire Microsoft 365. L'API d'activité de gestion Microsoft 365 utilise une conception RESTful standard et OAuth v2 pour l'authentification, ce qui permet de commencer facilement à expérimenter la récupération de données et leur ingestion dans des outils et des applications de visualisation.

L'API fournit un flux de données qui inclut des informations sur l'utilisateur, l'administrateur, les opérations et l'activité de sécurité dans Microsoft 365. Les données peuvent être conservées à des fins réglementaires ou combinées avec des données de journal obtenues à partir d'une infrastructure sur site ou d'autres sources pour créer un solution de surveillance des opérations, de la sécurité et de la conformité dans toute l'entreprise.

L'API d'activité de gestion fournit actuellement une vue complète de plus de 150 types de transactions de SharePoint Online, OneDrive Entreprise, Exchange Online et Azure AD. L'API fournit un schéma d'audit cohérent avec plus de 10 champs communs à tous les services.

Cela permet aux organisations d'établir des liens faciles entre les événements et de nouvelles façons de raisonner sur les données. Des dizaines d'éditeurs de logiciels indépendants (ISV) se sont associés à Microsoft et ont créé des solutions basées sur l'API. Certaines solutions se concentrent uniquement sur les données Microsoft 365, tandis que d'autres offrent la possibilité d'ingérer des données provenant de plusieurs fournisseurs de cloud et de systèmes sur site pour créer une vue unifiée de toutes les opérations, de la sécurité et de l'activité liée à la conformité. Pour plus d'informations, consultez la référence de l'API d'activité de gestion Microsoft 365 .

A lire également : Microsoft Cloud App Security : Le guide définitif

Sommaire

Le journal d'audit O365 inclut plusieurs fonctionnalités dans le centre de sécurité et des méthodes programmatiques pour récupérer et analyser les données du journal à l'aide de PowerShell distant et d'une API REST de services Web. Les administrateurs peuvent utiliser les fonctionnalités d'audit de Microsoft Microsoft 365 pour suivre les modifications apportées aux principaux éléments de configuration du locataire et du service, aux documents et à d'autres éléments.