Comment configurer le journal d'audit Office 365

Microsoft Office 365 est un écosystème robuste et diversifié qui implique de multiples services, tels que Microsoft Teams, Exchange Online, Azure AD, SharePoint Online et OneDrive for Business. C'est beaucoup à surveiller, et les administrateurs globaux doivent souvent superviser plusieurs sous-administrateurs et parfois des milliers d'utilisateurs.

Les journaux d'audit Office 365 vous aident à suivre l'activité des administrateurs et des utilisateurs, y compris qui accède, consulte ou déplace des documents spécifiques et comment les ressources sont utilisées. Ces journaux sont essentiels pour enquêter sur les incidents de sécurité et démontrer la conformité. Cependant, les journaux natifs présentent de multiples limitations, donc des services supplémentaires sont généralement nécessaires pour surveiller efficacement l'activité, maintenir la sécurité des systèmes et assurer la conformité réglementaire.

Comment configurer la journalisation d'audit Office 365

L'audit natif des journaux n'est pas activé par défaut. Pour activer l'audit natif des journaux :

1. Rendez-vous au Centre de sécurité & conformité Office 365.
2. Allez dans « Recherche » puis « Recherche de journal d'audit ».
3. Cliquez sur « Activer l'audit. »

Alternativement, vous pouvez activer l'audit des journaux en utilisant cette commande PowerShell :

      Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
      

La journalisation des audits pour Power BI et d'autres applications auxiliaires n'est pas activée par défaut ; vous devrez l'activer dans les portails d'administration séparés pour obtenir ces enregistrements d'audit.

Vérifiez vos exigences de licence pour voir combien de temps vos données de journal peuvent être stockées. Par exemple, la limite est actuellement de 90 jours pour une licence Office 365 E3 et d'un an pour une licence Office 365 E5.

Comment effectuer une recherche dans le journal d'audit

Prérequis

Avant de pouvoir exécuter une recherche dans les journaux d'audit, un administrateur doit attribuer des autorisations à votre compte, soit « View-Only Audit Logs » soit « Audit Logs ».

Il se peut que vous deviez attendre plusieurs heures après avoir activé l'audit des journaux avant de pouvoir effectuer une recherche dans les journaux d'audit.

Notez qu'une recherche unifiée de journal d'audit consolide les analyses de plusieurs services Office 365 dans un seul rapport de journal, ce qui nécessite de 30 minutes à 24 heures pour être complété.

Procédure

Pour effectuer une recherche dans les journaux d'audit, suivez les étapes suivantes :

1. Connectez-vous.

Connectez-vous sur https://protection.office.com.

Conseil : Pour empêcher l'utilisation automatique de vos identifiants actuels, ouvrez une session de navigation privée :

• Dans Internet Explorer ou Edge, appuyez sur CTRL+SHIFT+P.
• Pour la plupart des autres navigateurs, appuyez sur CTRL+SHIFT+N.

2. Commencez une nouvelle recherche.

Dans le Centre de sécurité et conformité, cliquez sur « Recherche » dans le volet de gauche. Ensuite, sélectionnez « Recherche de journal d'audit ».

3. Configurez vos critères de recherche.

Les principaux critères à spécifier sont :

• Activités — Consultez la liste des activités auditées de Microsoft. Il y en a plus de 100, donc Microsoft les a regroupées en activités connexes. Si vous ne précisez pas, votre rapport d'audit inclura toutes les activités effectuées pendant la période spécifiée.
• Dates — La période par défaut est les sept derniers jours, mais vous pouvez configurer votre recherche pour n'importe quelle période dans les derniers 90 jours.
• Utilisateurs — Précisez quel utilisateur ou groupe d'utilisateurs vous souhaitez inclure dans votre rapport.
• Emplacement — Si vous souhaitez limiter la recherche à un fichier, dossier ou site particulier, saisissez un emplacement ou un mot-clé.

D'autres critères de recherche incluent :

• Activités liées à un site web — Ajoutez une astérisque après l'URL pour retourner toutes les entrées pour ce site. Par exemple, “https://contoso-my.sharepoint.com/personal/*”.
• Activités liées à un fichier donné — Ajoutez un astérisque avant le nom du fichier pour retourner toutes les entrées pour ce fichier. Par exemple, “*Customer_Profitability_Sample.csv”.

4. Filtrez les résultats de recherche.

Les options de critères de recherche sont utiles pour un aperçu, mais filtrer les résultats de recherche vous aidera à passer au peigne fin les données plus efficacement. Vous pouvez entrer des mots-clés, des dates spécifiques, des utilisateurs, des éléments ou d'autres détails.

De plus, notez que la recherche est limitée aux 5 000 événements les plus récents. Si votre recherche renvoie exactement 5 000 éléments, vous avez probablement atteint la limite des résultats de recherche. Affinez davantage votre recherche pour vous assurer de voir toutes les données pertinentes dans votre plage de dates et d'heures sans manquer d'informations cruciales.

Alternativement, vous pouvez générer un rapport de données brutes qui répond à vos critères de recherche en extrayant les données dans un fichier csv. Cela vous permet de télécharger jusqu'à 50 000 événements au lieu de 5 000. Pour générer plus de 50 000 événements, travaillez par lots avec des plages de dates plus petites et combinez les résultats manuellement.

5. Enregistrez vos résultats.

Pour sauvegarder vos résultats, cliquez sur « Exporter les résultats » et choisissez « Enregistrer les résultats chargés » pour générer un fichier CSV avec vos données. Vous pouvez utiliser Microsoft Excel pour accéder au fichier ou partager les résultats sous forme de rapport.

Vous verrez une colonne appelée « AuditData », qui consiste en un objet JSON contenant plusieurs propriétés issues de l'enregistrement du journal d'audit. Pour activer le tri et le filtrage sur ces propriétés, utilisez l'outil de transformation JSON dans l'éditeur de requête Power Query d'Excel pour diviser la colonne « AuditData » et attribuer à chaque propriété sa propre colonne.

Consultez Exportez, configurez et consultez les enregistrements des journaux d'audit pour plus d'informations.

Limitations des recherches natives dans les journaux d'audit d'Office 365

Fouiller manuellement dans les journaux d'audit d'Office 365 est souvent difficile et prend beaucoup de temps. Les outils de recherche sont utiles, mais prenez en compte les inconvénients suivants lors de la décision de la manière de gérer l'audit dans votre organisation :

• Il est difficile de repérer une activité anormale — Cela nécessite un œil entraîné pour interpréter les données, surtout si vous n'êtes pas déjà conscient d'un problème avec un utilisateur ou un fichier spécifique.
• Il est difficile de garder vos données d'audit sécurisées — Les données détaillées sur chaque événement au sein de votre système sont des informations hautement sensibles. Bien que les options d'exportation par défaut soient pratiques, elles rendent vos fichiers plus vulnérables.
• Assembler des rapports lisibles par l'homme est très difficile — Pour obtenir un rapport, vous devez exporter des données d'audit spécifiques dans un fichier CSV, qui doit ensuite être trié et interprété avant de devenir exploitable.
• Vous avez des options de filtrage limitées — La recherche native dans les journaux d'audit ne fournit pas d'options de filtrage complètes, ce qui rend plus difficile l'extraction d'aperçus et la recherche de ce que vous cherchez.
• Il n'y a que quelques rapports de logs prédéfinis disponibles — Si vous souhaitez d'autres rapports, vous devez les créer manuellement. De plus, il n'existe pas d'option d'abonnement aux rapports ou de fonctionnalité native pour enregistrer les recherches personnalisées.
• La plupart des propriétés sont regroupées dans un seul JSON — Le JSON AuditData peut contenir différentes propriétés selon l'événement d'audit. Cela produit beaucoup de bruit inutile entre vous et les détails importants que vous essayez d'obtenir de vos données d'audit.
• Les données d'audit sont stockées pour une durée limitée — Étant donné que l'abonnement standard de Microsoft ne permet qu'une période de conservation des données d'audit de 90 jours, vous devrez télécharger et sauvegarder régulièrement vos journaux d'audit, puis essayer de les fusionner pour voir l'image à plus long terme de l'activité. Si vous oubliez de sauvegarder les journaux, vous aurez des lacunes dans votre historique.

Autres méthodes pour accéder aux données du journal d'audit

Office 365 Management Activity API

L'API Office 365 Management Activity vous permet de consulter les données concernant les événements système d'administration, utilisateur et de politique provenant des journaux d'activité d'Office 365 et d'Azure AD. L'outil vous aide à surveiller, analyser et visualiser les données d'audit.

Netwrix Auditor

Netwrix Auditor simplifie considérablement la tâche de rester informé de l'activité dans votre environnement informatique, tout en vous permettant de prévenir proactivement les problèmes et de garder les données organisées. La solution offre une visibilité accrue sur l'activité et les configurations dans vos environnements OneDrive for Business, SharePoint Online et Exchange Online, ainsi que dans Azure AD.