Partager via


Considérations relatives au journal d’audit pour la conformité du gouvernement australien avec PSPF

Cet article fournit des conseils pour les organisations gouvernementales australiennes sur le journal d’audit Microsoft 365. Il a pour but d’aider les organisations gouvernementales à accroître leur maturité en matière de sécurité et de conformité tout en respectant les exigences décrites dans le Cadre de stratégie de sécurité de protection (PSPF) et le Manuel de sécurité des informations (ISM).

Le journal d’audit Microsoft 365 est un service de journalisation unifié qui capture les événements de plusieurs services et applications sur la plateforme Microsoft 365. Il fournit un emplacement unique pour afficher les données d’audit des services Microsoft 365 tels que Exchange Online, SharePoint, OneDrive, Microsoft Teams, Power BI, etc.

Le journal d’audit peut être utilisé pour suivre l’activité des utilisateurs et des administrateurs dans votre organization, y compris les activités relatives à l’étiquetage de confidentialité. Pour plus d’informations sur les événements Microsoft Purview et la protection contre la perte de données (DLP) qui sont capturés dans le journal d’audit, consultez Activités du journal d’audit Microsoft Purview via Microsoft 365 Management.

Le journal d’audit est important pour les déploiements Microsoft Purview, car :

  • Le journal d’audit conserve les décisions concernant les personnes qui ont appliqué des étiquettes aux éléments.
  • Le journal d’audit conserve des informations sur les modifications d’étiquette, y compris les justifications des modifications d’étiquette.
  • Le journal d’audit fournit des informations sur les éléments entrants et sortants.
  • Le journal d’audit fournit une visibilité des événements pour des périodes plus longues que les autres emplacements de création de rapports où les activités Microsoft 365 sont visibles (par exemple, les événements sont visibles dans l’Explorateur d’activités pendant 30 jours).

Exigences de rétention des journaux d’audit

La nécessité d’une rétention étendue est couverte par l’exigence ISM suivante :

Conditions requises Détails
ISM-0859 (juin 2024) Les journaux des événements, à l’exception de ceux des services de système de noms de domaine et des proxys web, sont conservés pendant au moins sept ans.

La durée par défaut pendant laquelle les données du journal d’audit sont conservées est liée au niveau de licence Microsoft 365. Les organisations disposant de licences E3 disposent d’une conservation du journal d’audit pendant 90 jours. Les organisations disposant d’une licence E5 sont retenues pour Entra, Exchange Online, OneDrive et SharePoint sont d’un an.

Les stratégies de rétention des journaux d’audit étendent la conservation des informations d’audit pour un ensemble d’activités. Les stratégies d’audit peuvent être configurées pour conserver les informations d’audit pendant jusqu’à 10 ans.

La conservation à long terme des informations d’audit nécessite des licences Audit (Premium). Pour plus d’informations sur la rétention des journaux d’audit, consultez solutions d’audit dans Microsoft Purview.

Intégration SIEM

Les systèmes de gestion des informations et des événements de sécurité (SIME) sont conçus pour aider les organization à détecter, analyser et répondre aux menaces de sécurité avant qu’elles ne nuisent aux opérations de l’entreprise. Les SIM ingèrent les informations de journal et fournissent une analyse des événements. Les SIM sont utilisés pour augmenter la vitesse de détection des menaces, prendre en charge les incidents de sécurité, la gestion des événements et la conformité.

Microsoft Sentinel est un SIEM natif cloud et évolutif qui fournit une solution intelligente et complète pour l’orchestration, l’automatisation et la réponse à la sécurité (SOAR). Cela signifie que les événements Microsoft Purview ingérés dans Sentinel (ou une solution SIEM équivalente) sont facilement analysés et peuvent produire des rapports avancés.

Pour plus d’informations sur la façon dont Sentinel peuvent être configurés pour ingérer les données du journal d’audit Microsoft 365, consultez Comment utiliser Office 365 données d’audit avec Microsoft Sentinel..