Auditer l’activité utilisateur
Une fois que vous avez configuré votre accès utilisateur pour le Portail Azure, sur vos capteurs réseau OT et vos consoles de gestion locales, vous souhaitez pouvoir suivre et auditer l’activité des utilisateurs sur l’ensemble de Microsoft Defender pour IoT.
Auditer l’activité des utilisateurs Azure
Utilisez les ressources d’audit des utilisateurs Microsoft Entra pour auditer l’activité des utilisateurs Azure dans Defender pour IoT. Pour en savoir plus, consultez :
Auditer l’activité des utilisateurs sur un capteur réseau OT
Auditer et suivre l’activité des utilisateurs sur la chronologie des événements d’un capteur. La chronologie des événements affiche les événements qui se sont produits sur le capteur, les appareils affectés pour chaque événement, ainsi que l’heure et la date auxquelles l’événement s’est produit.
Remarque
Cette procédure est prise en charge pour les utilisateurs administrateurs privilégiés par défaut et tous les utilisateurs disposant d’un rôle d’administrateur.
Pour utiliser la chronologie des événements du capteur :
Connectez-vous à la console du capteur en tant qu’utilisateurs administrateurs privilégiés ou n’importe quel utilisateur disposant d’un rôle d’administrateur.
Sur le capteur, sélectionnez Chronologie des événements dans le menu de gauche. Vérifiez que le filtre est défini pour afficher les opérations utilisateur.
Par exemple :
Utilisez les filtres ou la recherche avec CTRL+F pour trouver les informations qui vous intéressent.
Pour plus d’informations sur la chronologie des événements, consultez Suivre l’activité du réseau et des capteurs avec la chronologie des événements
Auditer l’activité des utilisateurs sur une console de gestion locale
Important
Defender pour IoT recommande désormais d’utiliser les services de cloud computing Microsoft ou l’infrastructure informatique existante pour une supervision centralisée et une gestion des capteurs, tout en prévoyant de mettre hors service la console de gestion locale le 1er janvier 2025.
Pour plus d’informations, consultez Déployer la gestion des capteurs OT hybrides ou non connectés.
Pour auditer et suivre l’activité des utilisateurs sur une console de gestion locale, utilisez les journaux d’audit de la console de gestion locale, qui enregistrent les données d’activité clés au moment de l’occurrence. Utilisez les journaux d’audit de la console de gestion locale pour comprendre les modifications apportées à la console de gestion locale, quand et par qui.
Pour accéder aux journaux d’audit de la console de gestion locale :
Connectez-vous à la console de gestion locale et sélectionnez Paramètres système>Statistiques de système>Journal d'audit.
La boîte de dialogue affiche les données du journal d’audit actif. Par exemple :
Par exemple :
De nouveaux journaux d’audit sont générés tous les 10 Mo. Le journal précédent est stocké en plus du fichier journal actif.
Les journaux d’audit comprennent les données suivantes :
| Action | Informations enregistrées |
|---|---|
| Apprentissage et correction des alertes | ID de l’alerte |
| Modifications de mot de passe | Utilisateur, ID utilisateur |
| Connexion | Utilisateur |
| Création de l’utilisateur | Utilisateur, rôle d’utilisateur |
| Réinitialisation du mot de passe | Nom d’utilisateur |
| Règles d’exclusion - Création | Résumé de la règle |
| Règles d’exclusion - Modification | ID de règle, Résumé de la règle |
| Règles d’exclusion - Suppression | Identificateur de la règle |
| Mise à niveau de la console de gestion | Fichier de mise à niveau utilisé |
| Nouvelle tentative de mise à niveau du capteur | ID de capteur |
| Package TI chargé | Aucune information supplémentaire enregistrée. |
Conseil
Vous pouvez également exporter vos journaux d’audit pour les envoyer à l’équipe du support et obtenir un dépannage plus complet. Pour plus d’informations, consultez Exporter les journaux à partir de la console de gestion locale pour la résolution des problèmes.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :
- Gestion des utilisateurs Microsoft Defender pour IoT
- Rôles d’utilisateur et autorisations Azure pour Defender pour IoT
- Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT
- Créer et gérer des utilisateurs sur un capteur réseau OT
- Créer et gérer des utilisateurs sur une console de gestion locale