Explorer Microsoft Purview Audit (Premium)

  • 10 minutes

La fonctionnalité d'Audit de Microsoft Purview offre aux organisations une visibilité dans de nombreux types d’activités auditées dans différents services de Microsoft 365. Microsoft Purview fournit deux solutions d’audit : Audit (Standard) et Audit (Premium).

Dans un module précédent, vous avez appris que Microsoft Purview Audit (Standard) offre aux organisations la possibilité de journaliser et de rechercher des activités auditées. Il permet également à une organisation d’alimenter ses investigations légales, informatiques, de conformité et juridiques.

Dans ce module, vous allez apprendre que Microsoft Purview Audit (Premium) s’appuie sur les fonctionnalités de Microsoft Purview Audit (Standard). Il fournit des fonctionnalités avancées conçues spécialement pour les organisations qui effectuent des investigations judiciaires et de conformité. Ces fonctionnalités fournissent les éléments suivants :

  • Augmentation de la rétention du journal d’audit requise pour mener une enquête.
  • Accès aux événements essentiels qui aident à déterminer l’étendue de la compromission.
  • Un accès plus élevé à la bande passante et, par conséquent, un accès plus rapide à l’API Activité de gestion Office 365.

Cette unité fournit une vue d’ensemble des fonctionnalités Audit (Premium).

Abonnement à l’organisation et licence utilisateur

Audit (Premium) est disponible pour les organisations disposant d’un abonnement Office 365 E5/A5/G5 ou Microsoft 365 Entreprise E5/A5/G5. Pour les organisations disposant d’un abonnement E5/A5/G5, les clients éligibles et les utilisateurs auxquels la licence E5/A5/G5 appropriée est attribuée auront accès aux événements Audit (Premium). Les événements d’Audit (Premium) ne seront générés que pour les utilisateurs disposant de licences E5/A5/G5 une fois ces licences attribuées.

Pour tirer parti des fonctionnalités d’audit de niveau utilisateur (Premium), un utilisateur doit se voir attribuer une licence E5/A5/G5. Certaines fonctionnalités vous permettront de vérifier la présence de la licence appropriée pour exposer la fonctionnalité à l’utilisateur. Par exemple, si vous essayez de conserver les enregistrements d’audit pour un utilisateur ne disposant pas la licence appropriée pendant plus de 90 jours, le système renvoie un message d’erreur.

Conservation à long terme des journaux d’audit

Lorsqu’une activité auditée est effectuée par un utilisateur ou un administrateur, un enregistrement d’audit est généré et stocké dans le journal d’audit de l’organisation. Dans Microsoft Purview Audit (Standard), les enregistrements du journal d’audit sont conservés pendant 90 jours. En comparaison, Audit (Premium) conserve tous les enregistrements d’audit Exchange, SharePoint et Microsoft Entra pendant un an.

Audit (Premium) fournit ce temps de rétention supplémentaire en implémentant une stratégie de rétention du journal d’audit par défaut. La rétention d’enregistrements d’audit sur des périodes plus longues peut vous aider à effectuer des investigations de conformité ou de vérification en cours. Pour plus d’informations, voir la section « Stratégie de rétention du journal d’audit par défaut » dans Gérer les stratégies de rétention du journal d’audit.

Remarque

En plus des fonctionnalités de rétention d’un an d’Audit (Premium), Microsoft 365 peut éventuellement conserver les journaux d’audit pendant 10 ans. La rétention de 10 ans des journaux d’audit permet de faciliter les investigations de longue durée et de répondre aux obligations réglementaires, légales et internes. La conservation des journaux d’audit pendant 10 ans nécessite une licence supplémentaire de module complémentaire par utilisateur. Une fois que cette licence est attribuée à un utilisateur et qu'une stratégie appropriée de conservation des journaux d'audit pendant 10 ans est définie pour cet utilisateur, les journaux d'audit couverts par cette stratégie commenceront à être conservés pendant la période de 10 ans. Cette stratégie n’est pas rétroactive. Par conséquent, il ne peut pas conserver les journaux d’audit qui ont été générés avant la création de la stratégie de rétention des journaux d’audit sur 10 ans.

Stratégies de rétention du journal d'audit

Tous les enregistrements d’audit générés dans d’autres services qui ne sont pas couverts par la stratégie de rétention du journal d’audit par défaut sont conservés pendant 90 jours. Toutefois, vous pouvez créer des stratégies de rétention personnalisées du journal d’audit pour conserver d’autres enregistrements d’audit pendant 10 ans maximum. Vous pouvez créer une stratégie pour conserver les enregistrements d’audit basés sur un ou plusieurs critères énumérés ci-après :

  • Service Microsoft 365 dans lequel les activités auditées ont lieu.
  • Activités auditées spécifiques.
  • L’utilisateur effectuant une activité auditée.

Vous pouvez également spécifier la durée de conservation des enregistrements d’audit qui correspondent à la stratégie et à un niveau de priorité. Cette conception permet à des stratégies spécifiques de prendre la priorité sur d’autres stratégies.

Toute stratégie de rétention de journal d’audit personnalisée est prioritaire sur la stratégie de rétention d’audit par défaut si vous devez conserver exchange, SharePoint ou Microsoft Entra enregistrements d’audit pendant moins d’un an (ou jusqu’à 10 ans) pour certains ou tous les utilisateurs de votre organization.

Attention

Toutes les données de journal d’audit couvertes par une stratégie de rétention du journal d’audit de 10 ans que vous créez après la mise à disposition générale de la fonctionnalité au dernier trimestre de 2020 sont conservées pendant 10 ans. Cette conception inclut des stratégies de rétention du journal d’audit sur 10 ans qui ont été créées avant la publication de la licence d’extension requise pour l’achat en mars 2021. Toutefois, étant donné que la licence Add On de rétention des journaux d’audit sur 10 ans est désormais disponible, vous devez acheter et attribuer ces licences complémentaires à tous les utilisateurs dont les données d’audit sont couvertes par une stratégie de rétention d’audit sur 10 ans.

Événements d’Audit (Premium)

Audit (Premium) aide les organisations à mener des investigations judiciaire et de conformité en fournissant l’accès à des événements importants, tels que :

  • lorsque les éléments de courrier ont été consultés.
  • lorsque des éléments de courrier ont reçu une réponse et ont été transférés.
  • lorsqu'un utilisateur a effectué une recherche dans Exchange Online et SharePoint Online, et ce qu'il a cherché.

Ces événements peuvent vous aider à identifier les violations possibles et déterminer l’étendue de la compromission. En plus de ces événements dans Exchange et SharePoint, il existe des événements dans d’autres services Microsoft 365 qui sont également considérés comme des événements importants. Ces événements nécessitent également que les utilisateurs reçoivent la licence Audit (Premium) appropriée.

Importante

Une licence d’Audit (Premium) doit être attribuée aux utilisateurs afin que les journaux d’audit soient générés lorsque les utilisateurs effectuent ces événements.

Audit (Premium) fournit les nouveaux événements suivants, chacun d’eux étant introduit dans les sections suivantes :

  • Événement MailItemsAccessed
  • Événement Send
  • Événement SearchQueryInitiatedExchange
  • Événement SearchQueryInitiatedSharePoint
  • Autres événements d’Audit (Premium) dans Microsoft 365

Remarque

Les nouveaux événements d’Audit (Premium) sont-ils disponibles dans l’API Activité de gestion Office 365. Tant que les enregistrements d’audit sont générés pour les utilisateurs disposant de la licence appropriée, vous pourrez accéder à ces enregistrements via l’API Activité de gestion Office 365.

Événement MailItemsAccessed

L’événement MailItemsAccessed est une action d’audit de la boîte aux lettres. Elle est déclenchée lorsque les protocoles de messagerie et les clients de messagerie accèdent aux données de messagerie. Cet événement peut aider les enquêteurs à identifier les violations de données et à mesurer l’étendue des messages susceptibles d’être compromis. Si un attaquant a obtenu l’accès aux messages électroniques, l’action MailItemsAccessed est déclenchée même s’il n’existe aucun signal explicite indiquant que les messages ont été lus. En d’autres termes, le type d’accès tel qu’une liaison ou une synchronisation est enregistré dans l’enregistrement d’audit.

L’événement MailItemsAccessed remplace MessageBind dans la journalisation d’audit des boîtes aux lettres dans Exchange Online. Il fournit les améliorations suivantes :

  • MessageBind était configurable uniquement pour le type de connexion utilisateur AuditAdmin. Il ne s’applique pas aux actions de délégué ou de propriétaire.
    • Amélioration. MailItemsAccessed s’applique à tous les types de connexion.
  • MessageBind ne prenait en charge que l'accès à un client de messagerie. Il ne s’appliquait pas aux activités synchrones.
    • Amélioration. Les événements MailItemsAccessed sont déclenchés par les types d’accès BIND et synchrone.
  • Les actions MessageBind déclenchent la création de plusieurs enregistrements d’audit lorsque le même message électronique est accessible. Cette conception a entraîné l’audit du « bruit ».
    • Amélioration. Les événements MailItemsAccessed sont agrégés en moins d’enregistrements d’audit.

Pour rechercher des enregistrements d’audit MailItemsAccessed, les organisations peuvent rechercher les éléments de boîte aux lettres accessibles activités dans la liste déroulante des activités de la boîte aux lettres Exchange dans l’outil de recherche du journal d’audit dans le portail de conformité Microsoft Purview.

Capture d’écran de la fenêtre Rechercher avec l’option Éléments de boîte aux lettres accessibles sélectionnée pour le paramètre Activités.

Vous pouvez également exécuter la commande Search-UnifiedAuditLog -Operations MailItemsAccessed ou Search-MailboxAuditLog -Operations MailItemsAccessed dans Exchange Online PowerShell.

Événement Send

L’événement Send est une autre action d’audit de boîte aux lettres. Elle est déclenchée lorsqu’un utilisateur effectue l’une des actions suivantes :

  • Envoie un e-mail.
  • Répond à un e-mail.
  • Transfert un e-mail.

Les investigateurs peuvent utiliser l’événement Envoi pour identifier les messages envoyés à partir d’un compte compromis. L’enregistrement d’audit d’un événement d’envoi contient des informations sur le message, telles que :

  • le moment où le message a été envoyé.
  • l’ID InternetMessage.
  • la ligne d'objet.
  • Indique si le message contient des pièces jointes.

Ces informations d’audit peuvent aider les investigateurs à identifier les informations relatives aux messages électroniques envoyés à partir d’un compte compromis ou envoyés par un intrus. En outre, les enquêteurs peuvent utiliser un outil Microsoft 365 eDiscovery pour rechercher le message (à l’aide de la ligne d’objet ou de l’ID de message). En procédant ainsi, ils peuvent identifier les destinataires auxquels le message a été envoyé et le contenu réel du message envoyé.

Pour rechercher des enregistrements d’audit d’envoi, vous pouvez rechercher le message envoyé activité dans la liste déroulante des activités de la boîte aux lettres Exchange dans l’outil de recherche du journal d’audit dans le portail de conformité Microsoft Purview.

Capture d’écran de la fenêtre Rechercher avec l’option Message envoyé sélectionnée pour le paramètre Activités.

Vous pouvez également exécuter les commandes Search-UnifiedAuditLog -Operations Send ou Search-MailboxAuditLog -Operations Send dans Exchange Online PowerShell.

Événement SearchQueryInitiatedExchange

L’événement SearchQueryInitiatedExchange se déclenche lorsqu’une personne utilise Outlook pour rechercher des éléments dans une boîte aux lettres. Des événements se déclenchent lorsque vous effectuez des recherches dans les environnements Outlook suivants :

  • Outlook (client de bureau)
  • Outlook sur le web (OWA)
  • Outlook pour iOS
  • Outlook pour Android
  • Application Courrier pour Windows 10

Les enquêteurs peuvent utiliser l’événement SearchQueryInitiatedExchange pour déterminer si un attaquant (qui a peut-être compromis un compte) a recherché ou tenté d’accéder à des informations sensibles dans la boîte aux lettres. L’enregistrement d’audit d’un événement SearchQueryInitiatedExchange contient des informations telles que le texte de la requête de recherche. L’enregistrement d’audit indique également l’environnement Outlook où vous avez effectué la recherche. En examinant les requêtes de recherche qu’un intrus peut avoir effectué, un investigateur peut mieux comprendre l’objectif des données de messagerie qui ont été recherchées.

Pour rechercher les enregistrements d'audit SearchQueryInitiatedExchange, vous pouvez faire une recherche sur l'activité de recherche de l’e-mail effectuée dans la liste déroulante Activités de recherche de l'outil de recherche du journal d'audit dans le portail de conformité Microsoft Purview.

Capture d’écran de la fenêtre Rechercher avec l’option Recherche d’e-mails effectuée sélectionnée pour le paramètre Activités.

Vous pouvez également exécuter le Search-UnifiedAuditLog-Operations SearchQueryInitiatedExchange dans Exchange Online PowerShell.

Vous devez activer la journalisation de SearchQueryInitiatedExchange pour pouvoir rechercher cet événement dans le journal d'audit.

Événement SearchQueryInitiatedSharePoint

L’événement SearchQueryInitiatedSharePoint est similaire à la recherche d’éléments de boîte aux lettres. Elle est déclenchée lorsqu’une personne recherche des éléments dans SharePoint. Les événements sont déclenchés lorsque des recherches sont effectuées sur la racine ou la page par défaut des types de sites SharePoint suivants :

  • Sites d’accueil
  • Sites de communication
  • Sites concentrateurs
  • Sites associés à Microsoft Teams

Les investigateurs peuvent utiliser l’événement SearchQueryInitiatedSharePoint pour déterminer si un intrus a essayé de rechercher des informations sensibles (et éventuellement y a accédé) dans SharePoint. L’enregistrement d’audit d’un événement SearchQueryInitiatedSharePoint contient le texte réel de la requête de recherche. L’enregistrement d’audit indique également le type de site SharePoint où vous avez effectué la recherche. En examinant les requêtes de recherche qu’un attaquant a peut-être exécutées, un enquêteur peut mieux comprendre l’intention et l’étendue des données de fichier recherchées par l’attaquant.

Pour rechercher les enregistrements d'audit SearchQueryInitiatedSharePoint, vous pouvez rechercher l'activité de recherche SharePoint effectuée dans la liste déroulante Activités de recherche de l'outil de recherche du journal d'audit dans le portail de conformité Microsoft Purview.

Capture d'écran de la fenêtre Recherche avec l'option Recherche SharePoint effectuée sélectionnée pour le paramètre Activités.

Vous pouvez également exécuter le Search-UnifiedAuditLog-Operations SearchQueryInitiatedSharePoint dans Exchange Online PowerShell.

Remarque

Vous devez activer la journalisation de SearchQueryInitiatedSharePoint pour pouvoir rechercher cet événement dans le journal d'audit.

Autres événements d’Audit (Premium) dans Microsoft 365

Outre les événements dans Exchange Online et SharePoint Online, il existe des événements dans d’autres services Microsoft 365 qui sont enregistrés lorsque les utilisateurs reçoivent la licence Audit (Premium) appropriée. Les services Microsoft 365 suivants fournissent des événements d’Audit (Premium). Sélectionnez un lien vers le lien correspondant pour accéder à un article qui identifie et décrit ces événements.

Accès haut débit à l’API Activité de gestion Office 365

Les organisations qui accédaient précédemment aux journaux d’audit via l’API Activité de gestion Office 365 étaient restreintes par des limites d'étranglement au niveau de l'éditeur. Par conséquent, pour les éditeurs qui ont extrait des données pour le compte de plusieurs clients, la limite a été partagée par tous ces clients.

Avec la publication d’Audit (Premium), Microsoft 365 est passé d’une limite de niveau éditeur à une limite de niveau client. Chaque organisation obtient ainsi son propre quota de bande passante entièrement allouée pour accéder à leurs données d’audit. La bande passante n’est pas une limite statique prédéfinie. Au lieu de cela, elle est modélisée sur une combinaison de facteurs. Ces facteurs incluent le nombre de sièges au sein de l’organisation et le fait que les organisations E5/A5/G5 bénéficieront d’une bande passante supérieure à celle des organisations non-E5/A5/G5.

Les organisations reçoivent une ligne de base de 2 000 demandes par minute. Cette limite augmentera de façon dynamique en fonction du nombre de sièges d’une organisation et du nombre de licences dans son abonnement. Les organisations E5/A5/G5 disposeront d’environ deux fois plus de bande passante que les organisations non-E5/A5/G5. La bande passante maximale sera également plafonnée afin de protéger l’intégrité du service.

Lecture supplémentaire. Pour plus d’informations, consultez la rubrique « Limitation de l'API » dans la Référence de l’API Activité de gestion Office 365.

Vérification des connaissances

Choisissez la meilleure réponse pour la question suivante.

Vérifier vos connaissances

1.

Fabrikam a implémenté Microsoft Purview Audit (Premium). Il souhaite maintenant créer des stratégies de rétention des journaux d’audit sur 10 ans appropriées pour les responsables de ses équipes de sécurité et de conformité. Que doit faire Fabrikam pour activer cette fonctionnalité ?