Accéder au journal d’audit Security Copilot

Dans l’environnement réglementaire strict d’aujourd’hui, il est important que les organisations surveillent et analysent la façon dont les utilisateurs interagissent avec les produits de sécurité. Les organisations peuvent avoir besoin de suivre les actions, les transactions et les paramètres de configuration sur une plateforme pour s’assurer qu’elles respectent les réglementations de conformité et les normes réglementaires.

Security Copilot permet d’accéder aux journaux d’audit via Microsoft Purview et l’API de gestion Office pour vous aider à répondre aux exigences réglementaires et de conformité. Le journal d’audit vous donne une visibilité sur les informations telles que les événements d’administration et les métadonnées d’activité.

• événements Administration : actions privilégiées telles que les modifications apportées aux paramètres au niveau du locataire ou les modifications administratives (par exemple, le partage de données, les configurations de plug-in et de promptbook).

• Métadonnées d’activité : journaux des interactions utilisateur au sein de la plateforme Security Copilot (par exemple, un utilisateur a demandé une invite à un moment spécifique avec des informations sur le type d’activité).

Remarque

Cela n’inclut pas le contenu client tel que l’invite et la réponse réelles.

En effectuant le suivi de ces interactions, vous pouvez potentiellement identifier les risques et protéger les données de production.

Activer la fonctionnalité de journal d’audit dans Security Copilot

Lors de la première exécution, un administrateur de sécurité a la possibilité d’autoriser Microsoft Purview à accéder, traiter, copier et stocker des actions d’administrateur, des actions utilisateur et des réponses Copilot. Pour plus d’informations, consultez Prise en main de Security Copilot.

Les administrateurs de sécurité peuvent également accéder à cette option via la page Paramètres du propriétaire. Pour plus d'informations, voir Comprendre l'authentification .

Dans la plupart des scénarios, les journaux sont disponibles dans les 24 heures dans Microsoft Purview après l’activation de la fonctionnalité.

Procédez comme suit pour mettre à jour les paramètres du journal d’audit :

1. Connectez-vous à Security Copilot (https://securitycopilot.microsoft.com).

2. Sélectionnez l’icône du menu Accueil.

3. Accédez aux paramètres> PropriétaireJournalisation des données d’audit dans Microsoft Purview.

   

   Importante

   Microsoft Purview stocke vos données client dans la région où vos données Microsoft 365 sont stockées. Pour plus d’informations, consultez Confidentialité et sécurité des données. La période de rétention par défaut pour les journaux d’audit est de 180 jours, mais peut être prolongée à l’aide de stratégies de rétention des journaux d’audit. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.

4. Vous pouvez activer ou désactiver le bouton bascule.

Accéder au journal d’audit dans Microsoft Purview pour Security Copilot

Avant de commencer

Cette section fournit une vue d’ensemble des prérequis pour accéder au journal d’audit.

Vous devez suivre la procédure suivante :

• Vérifiez que vous avez choisi d’autoriser l’accès Microsoft Purview dans Security Copilot. Pour plus d’informations, consultez Activer la fonctionnalité de journal d’audit.
• Vérifiez que la fonctionnalité de journal d’audit est activée dans Microsoft Purview. Pour plus d’informations, consultez Avant de rechercher dans le journal d’audit.

Remarque

Vous devez disposer des autorisations appropriées pour accéder au journal d’audit dans Microsoft Purview. Pour plus d’informations, consultez Autorisations dans le portail Microsoft Purview. Notez que ces droits d’accès peuvent être différents de ceux de Security Copilot.

Options d’accès au journal d’audit

Vous pouvez effectuer les actions suivantes pour accéder au journal d’audit dans Microsoft Purview :

• Rechercher dans le journal d’audit : article qui fournit des instructions sur la façon d’accéder aux données des événements du journal d’audit et de les parcourir pour obtenir des insights et examiner plus en détail les activités des utilisateurs.
• Rechercher dans les activités du journal d’audit : article qui décrit les activités capturées dans le journal d’audit.
• Rechercher dans le journal d’audit à l’aide d’un script PowerShell : article qui fournit des instructions sur la façon d’exécuter un script PowerShell pour rechercher dans le journal d’audit afin de vous aider à examiner les incidents de sécurité et les problèmes de conformité.
• Surveillez les activités des utilisateurs et les événements système avec Security Copilot et Microsoft Sentinel - Blog qui fournit des informations sur la façon de tirer parti de l’envoi de journaux d’audit Security Copilot à votre SIEM natif cloud pour obtenir des informations plus approfondies sur l’utilisation et prendre des mesures proactives pour atténuer les risques.