Décrire l’audit dans Microsoft Purview

  • 4 minutes

Les solutions d’audit de Microsoft Purview aident les organisations à répondre efficacement aux événements de sécurité, aux investigations médico-légales, aux investigations internes et aux obligations de conformité. Des milliers d’opérations utilisateur et administrateur effectuées dans des dizaines de services et solutions Microsoft 365, ainsi que Security Copilot (si activé) sont capturées, enregistrées et conservées dans le journal d’audit unifié de votre organisation. Les enregistrements d’audit de ces événements peuvent être consultés par les responsables de la sécurité, les administrateurs informatiques, les équipes chargées de la lutte contre le risque d’initié et les enquêteurs chargés de la conformité et de la législation au sein de votre organisation. Cette fonctionnalité offre une visibilité des activités effectuées au sein de votre organisation Microsoft 365.

Microsoft Purview offre deux solutions d’audit :

  • Audit (Standard)
  • Audit (Premium)

Audit (Standard)

L’Audit (Standard) est activé par défaut pour toutes les organisations disposant de l’abonnement approprié et disponible pour les utilisateurs disposant des autorisations appropriées. Lorsqu'une activité auditée est effectuée par un utilisateur ou un administrateur, un enregistrement d'audit est généré et stocké dans le journal d'audit de votre organisation. Dans l’Audit (Standard), les enregistrements sont conservés pendant 180 jours. Vous pouvez récupérer les journaux d’audit qui se produisent dans la plupart des services Microsoft 365 de votre organisation à l’aide des méthodes suivantes :

  • L’outil de recherche dans le journal d’audit dans le portail Microsoft Purview.
  • L’API Activité de gestion Office 365
  • La cmdlet Search-UnifiedAuditLog dans Exchange Online PowerShell

Après avoir recherché le journal d’audit, vous pouvez exporter les enregistrements d’audit retournés par la recherche dans un fichier CSV, pour une analyse approfondie dans Microsoft Excel ou Excel Power Query.

Audit (Premium)

Audit (Premium) s’appuie sur les fonctionnalités d’Audit (Standard) en fournissant des stratégies de conservation des journaux d’audit, une conservation plus longue des enregistrements d’audit, des insights intelligents, importants et cruciaux, ainsi qu’un accès avec plus de bande passante à l’API Activité de gestion Office 365.

  • Stratégies de rétention du journal d'audit. Vous pouvez créer des stratégies de conservation des journaux d’audit personnalisées pour conserver les enregistrements d’audit pendant des périodes plus longues jusqu’à un an (et jusqu’à 10 ans pour les utilisateurs disposant d’une licence de module complémentaire obligatoire).
  • Rétention plus longue des enregistrements d’audit. Les enregistrements d’audit Microsoft Entra ID, Exchange, OneDrive et SharePoint sont conservés pendant un an par défaut. Les enregistrements d’audit pour toutes les autres activités sont conservés pendant 180 jours par défaut, ou vous pouvez utiliser des stratégies de rétention des journaux d’audit pour configurer des périodes de rétention plus longues.
  • Insights intelligents d’Audit (Premium). Les enregistrements d’audit pour des insights intelligents peuvent aider votre organisation à mener des enquêtes d’investigation et de conformité en fournissant une visibilité sur les événements tels que le moment où des e-mails ont été consultés, ont fait l'objet d'une réponse et d'un transfert, ainsi que le moment et le contenu des recherches effectuées par un utilisateur dans Exchange Online et SharePoint Online. Ces insights intelligents qui peuvent vous aider à investiguer les violations possibles et à déterminer l’étendue de la compromission.
  • Bande passante supérieure à l’API Activité de gestion Office 365. Audit (Premium) fournit aux organisations plus de bande passante pour accéder aux journaux d’audit via l’API Office 365 Management Activity.

Gestion des licences

Les licences pour l’Audit (Standard) ou l’Audit (Premium) nécessitent l’abonnement approprié au niveau de l’organisation et les licences par utilisateur correspondantes. Pour plus d’informations sur les exigences en matière de licence, consultez la section « En savoir plus » de l’unité « Résumé et ressources ».

Journal d’audit dans Microsoft Purview pour Security Copilot

La fonctionnalité de journalisation d’audit dans Security Copilot utilise Microsoft Purview pour traiter et stocker des actions d’administrateur, des actions utilisateur et des réponses Copilot. Cela inclut les données de toutes les intégrations Microsoft et non-Microsoft.

À partir du portail Microsoft Security Copilot (expérience autonome), les propriétaires Copilot peuvent choisir de permettre à Microsoft Purview d’accéder, de traiter, de copier et de stocker des données client à partir de vos services Security Copilot. Une fois cette fonctionnalité activée dans Copilot, si votre organisation utilise déjà Microsoft Purview, aucune autre action n’est requise. La journalisation d’audit est activée par défaut pour les organisations Microsoft 365. Toutefois, lors de la configuration d’une nouvelle organisation Microsoft 365, vous devez vérifier l’état d’audit de votre organisation. Si votre organisation n’utilise pas déjà Microsoft Purview, la journalisation d’audit doit être provisionnée. Pour en savoir plus, consultez Activer ou désactiver l’audit.

Microsoft Purview stocke vos données clients dans la région où vos données Microsoft 365 sont stockées. Pour en savoir plus, consultez Confidentialité et sécurité des données dans Microsoft Security Copilot.