Audit et surveillance des activités des utilisateurs dans Microsoft 365

Audit et surveillance des activités des utilisateurs dans Microsoft 365

08/06/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la configuration, l'utilisation et la surveillance de l'activité des utilisateurs dans Microsoft 365. La capacité d'auditer et de surveiller les actions des utilisateurs est essentielle pour la sécurité, la conformité réglementaire ainsi que la détection et la réponse aux incidents, permettant aux organisations d'identifier les activités suspectes, d'enquêter sur les violations et de conserver un enregistrement détaillé de ce qui se passe dans leur environnement [1].

Présentation

Dans le lieu de travail moderne, où les données sont consultées et partagées sur plusieurs plates-formes et appareils, la visibilité sur les activités des utilisateurs est plus critique que jamais. Microsoft 365 offre un ensemble robuste de fonctionnalités d'audit qui enregistrent un large éventail d'actions entreprises par les utilisateurs et les administrateurs sur des services tels qu'Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams et Azure AD. Ces journaux d'audit sont une source d'informations inestimable pour les enquêtes médico-légales, les contrôles de conformité et la compréhension de la manière dont les données sont utilisées au sein de l'organisation [2].

Ce guide pratique couvrira l'activation de la journalisation d'audit unifiée, la recherche des journaux d'audit dans le portail de conformité Microsoft Purview, la création d'alertes personnalisées et les meilleures pratiques pour une surveillance continue. Des instructions étape par étape, des exemples de commandes PowerShell et des descriptions seront fournis afin que le lecteur puisse mettre en œuvre une stratégie d'audit et de surveillance efficace, renforçant la posture de sécurité et garantissant la conformité dans son environnement Microsoft 365.

Pourquoi l'audit et la surveillance sont-ils cruciaux dans Microsoft 365 ?

  • Détection des menaces : identifie les activités suspectes, telles que les tentatives d'accès non autorisées, le partage inapproprié de données ou les modifications apportées aux paramètres critiques.
  • Conformité réglementaire : aide à répondre aux exigences d'audit et de conformité de diverses réglementations (par exemple RGPD, LGPD, HIPAA, ISO 27001) en fournissant un enregistrement immuable des actions.
  • Enquête sur les incidents : fournit les données nécessaires pour enquêter sur les failles de sécurité, les fuites de données ou les activités malveillantes, permettant une réponse rapide et efficace.
  • Visibilité opérationnelle : permet aux administrateurs de comprendre comment les utilisateurs interagissent avec les services Microsoft 365, d'optimiser leur utilisation et d'identifier les besoins de formation.

Prérequis

  1. Licences : l'audit de base est disponible sur la plupart des licences Microsoft 365. Pour des fonctionnalités telles que la rétention à long terme et les événements à plus forte valeur ajoutée (audit avancé), une licence Microsoft 365 E5 ou un module complémentaire de conformité [3] est requis.
  2. Accès administratif : un compte avec les autorisations « Administrateur global », « Administrateur de conformité » ou « Journaux d'audit » sur le portail de conformité Microsoft Purview (https://compliance.microsoft.com).
  3. Journalisation d'audit activée : La journalisation d'audit unifiée doit être activée.

Étape par étape : configuration et surveillance des activités des utilisateurs

1. Vérification et activation du journal d'audit

Par défaut, l'audit est déjà activé dans la plupart des organisations. Pour vérifier :

  1. Accédez au portail de conformité Microsoft Purview : https://compliance.microsoft.com.
  2. Dans le menu, sélectionnez Audit.
  3. Si l'audit n'est pas actif, vous verrez une bannière pour démarrer l'enregistrement. Cliquez dessus.

2. Recherche dans le journal d'audit

L'outil de recherche dans les journaux d'audit est votre principale ressource pour les enquêtes.

  1. Sur la page Audit du portail Purview, configurez votre recherche :
    • Plage de dates et d'heures (UTC) : période de l'enquête.
    • Activités : filtrer par actions spécifiques (par exemple, "Fichier consulté", "Utilisateur connecté").
    • Utilisateurs : Spécifiez un ou plusieurs utilisateurs.
    • Fichier, dossier ou site Web : Affinez la recherche sur une ressource spécifique.
  2. Cliquez sur Rechercher. Les résultats peuvent être exportés pour analyse.

Utiliser PowerShell pour rechercher des journaux d'audit

Pour l'automatisation et les recherches complexes, PowerShell est idéal.

  1. Connectez-vous à Exchange Online PowerShell. powershell Connect-ExchangeOnline
  2. Utilisez l'applet de commande « Rechercher »-UnifiedAuditLog`. Exemple de recherche des activités de suppression de fichiers par un utilisateur au cours des 7 derniers jours : powershell Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -UserIds "[email protected]" -Operations FileDeleted -ResultSize 1000 | Format-Table CreationDate, UserIds, Operations, AuditData

3. Création d'alertes sur les activités d'audit

Soyez averti de manière proactive lorsque des activités critiques se produisent.

  1. Dans le portail de conformité Microsoft Purview, accédez à Politiques > Stratégies d'alerte.
  2. Cliquez sur Nouvelle stratégie d'alerte.
  3. Nommez la stratégie : donnez-lui un nom descriptif (ex : Alerte - Suppression de fichiers en masse).
  4. Activités : Sélectionnez les activités qui doivent déclencher l'alerte (ex : Fichier supprimé).
  5. Conditions : définissez des déclencheurs, tels que le nombre d'occurrences sur une période de temps donnée pour un seul utilisateur.
  6. Destinataires : précisez qui doit recevoir la notification par e-mail.
  7. Examinez et créez la stratégie.

Audit avancé (Microsoft 365 E5)

Pour les organisations ayant des exigences strictes en matière de conformité et de sécurité, Advanced Audit offre des fonctionnalités améliorées :

  • Conservation à long terme : conservez les journaux d'audit jusqu'à 1 an par défaut, avec la possibilité de prolonger jusqu'à 10 ans. Indispensable pour les enquêtes médico-légales à long terme.
  • Événements de grande valeur : accès à des événements plus détaillés tels que « MailItemsAccessed » (lorsqu'un e-mail a été lu) et « SearchQueryInitiated » (ce que les utilisateurs recherchent dans SharePoint et Exchange). Ces événements sont cruciaux pour enquêter sur les violations de données et les activités de reconnaissance.
  • Bande passante API plus élevée : accès plus rapide et à volume plus élevé aux journaux d'audit via l'API d'activité de gestion d'Office 365, facilitant l'intégration avec les systèmes SIEM.

Meilleures pratiques d'audit et de surveillance

  • Examinez régulièrement les journaux : n'attendez pas un incident. Planifiez des revues de journaux hebdomadaires ou mensuelles pour identifier les anomalies.
  • Concentrez-vous sur les activités à haut risque : donnez la priorité aux activités de surveillance telles que l'accès aux boîtes aux lettres des non-propriétaires, le partage de fichiers externes et les modifications des autorisations des administrateurs.
  • Intégrez-vous à un SIEM : envoyez des journaux d'audit à une solution SIEM telle que Microsoft Sentinel pour une corrélation avec d'autres sources de données et une détection avancée.
  • Utilisez le principe du moindre privilège : limitez le nombre d'administrateurs ayant accès aux journaux d'audit pour éviter toute falsification.
  • Documentez votre stratégie : conservez un document décrivant quelles activités sont surveillées, pourquoi et quelle est la procédure de réponse pour chaque alerte.

Conclusion

L'audit et la surveillance de l'activité des utilisateurs dans Microsoft 365 ne sont pas seulement une formalité de conformité, mais un élément actif et essentiel de la défense d'une organisation. En tirant parti des outils disponibles sur le portail de conformité Microsoft Purview, en automatisant les recherches avec PowerShell et en configurant des alertes proactives, les administrateurs peuvent obtenir la visibilité dont ils ont besoin pour détecter, enquêter et répondre efficacement aux menaces tout en protégeant les données précieuses de l'entreprise.

Références

[1]Microsoft. (2023). Aperçu de l'audit Microsoft Purview. [2]Microsoft. (2023). Recherchez dans le journal d'audit sur le portail de conformité. [3]Microsoft. (2023). Audit avancé Microsoft Purview.