Comment Surveiller les Journaux d’Activité Office 365 pour une Sécurité Améliorée

Tutoriels

Comment surveiller les journaux d’activité Office 365 pour une meilleure sécurité. Vous cherchez à améliorer la sécurité de votre Office 365? Il est crucial de surveiller les journaux d’activité d’Office 365, et le portail d’audit de journalisation unifiée Office 365 de Microsoft offre une plateforme unique pour le faire.

Dans cet article, nous explorons un aperçu de la journalisation unifiée 365 de bureau.

Ensuite, nous apprenons les exigences en matière de licences et d’autorisations pour utiliser le journal d’audit unifié Microsoft 365. De plus, cette section inclut les étapes pour vérifier si vous remplissez ces exigences et que faire si ce n’est pas le cas. Ensuite, nous examinons comment vérifier si la journalisation d’audit unifiée est activée pour votre organisation. Ensuite, nous discutons des étapes pour l’activer via le portail de conformité Microsoft ou PowerShell Windows.

Ensuite, nous examinons comment vérifier si la journalisation d’audit unifiée est activée pour votre organisation. Ensuite, nous abordons les étapes pour l’activer via le portail Microsoft conformité ou Windows PowerShell.

Une fois la journalisation d’audit activée, nous abordons comment rechercher, consulter et exporter les journaux d’audit Office 365 vers CSV. Enfin, nous montrons comment surveiller et analyser les journaux d’activité 365 activity logs pour améliorer la sécurité de votre organisation.

Aussi lire Comment configurer les journaux d’activité Azure AD pour une surveillance efficace

Aperçu de la journalisation d’audit unifiée Office 365

Microsoft 365 (M365) est un ensemble de services cloud basés. Certains services inclus dans M365 sont Azure Active Directory, Exchange Online, et SharePoint Online.

Les services inclus dans votre abonnement M365 dépendent de votre abonnement.

Maintenant, avec tant de Office 365 services, les administrateurs font face à un défi considérable pour surveiller les journaux d’activité des différents services afin d’améliorer la sécurité de l’organisation. La bonne nouvelle est que le portail de conformité Microsoft Purview offre aux administrateurs Microsoft 365 un seul emplacement pour activer une vérification d’audit unifiée.

Maintenant, vous devez vous demander quels des services Microsoft 365 prennent en charge l’audit unifié. Pour voir tous les services que vous surveillez, consultez la liste sur la page Services Microsoft 365 prenant en charge l’audit.

Aussi lire Comment se connecter à Office 365 à l’aide de Powershell

Licences et autorisations du journal d’audit Microsoft 365

Microsoft propose deux versions de la Microsoft Purview Audit, qui vous permettent d’activer, de rechercher et de surveiller les journaux d’audit unifiés Microsoft 365.

Ainsi, vous obtenez la Microsoft Purview Audit (Standard) ou la (Premium), en fonction de l’abonnement et de la licence Microsoft 365 de votre organisation. Microsoft 365 subscription and licensing.

De plus, les administrateurs qui doivent effectuer des auditsrapports de journal doivent être autorisés aux autorisations requises.

Pour configurer les exigences de licence et d’autorisation des utilisateurs, suivez ces étapes.

Étape 1 : Vérifiez que votre organisation répond aux exigences d’abonnement/de licence des utilisateurs

Pour accéder au journal d’audit unifié Microsoft 365, votre organisation doit disposer d’un minimum de abonnements Microsoft Business Basic/Standard. C’est la même chose que la licence Azure AD Premium P1.

Par contre, pour accéder à la fonctionnalité Audit (Premium), vous avez besoin d’au moins l’abonnement Microsoft 365 Enterprise E5.

Suivez les étapes ci-dessous pour vérifier votre abonnement attribué.

1. Suivez les étapes de notre article – Comment se connecter à Office 365 à l’aide de Powershell – pour installer le module MSOnline PowerShell. Ensuite, connectez-vous à Office 365.
2. Exécutez la commande Get-MsolAccountSku pour lister les licences Microsoft 365 disponibles dans votre locataire. 

Get-MsolAccountSku

2. Ensuite, exécutez la commande ci-dessous pour renvoyer la licence que votre administrateur a attribuée à vous. 

Get-MsolUser | Where-Object { ($_.Licenses[0].AccountSkuId -eq "License_AccountSkuId") -and ($_.UserPrincipalName -eq "[email protected]" ) } | Select-Object UserPrincipalName, DisplayName -ExpandProperty Licenses

Remplacez License_AccountSkuId par l’AccountSkuId (le nom de la licence) de la dernière commande. Remplacez également [email protected] par votre UPN Office 365.

Vérifiez la valeur de la dernière commande affichée dans la propriété AccountSkuId. Ensuite, comparez-la avec les exigences de licence Microsoft 365.


Enfin, si la licence que votre administrateur vous a attribuée est répertoriée, vérifiez les exigences de permission Microsoft 365 en utilisant les étapes de la sous-section suivante.

Lisez également Get-AzureADAuditSignInLogs – Trouver les journaux d’inscription des 30 derniers jours PowerShell

Étape 2 : Confirmez que votre compte remplit les exigences de permission

Pour consulter et exécuter des recherches dans les journaux d’audit unifiés Office 365, les administrateurs ou les utilisateurs doivent être affectés au rôle Afficher les journaux d’audit ou Journaux d’audit dans Exchange Online. Les groupes de rôles Gestion de la conformité Gestion et Gestion de l’organisation disposent par défaut des autorisations requises.

De plus, les membres du groupe Office 365 Administrateurs Globaux sont ajoutés par défaut au groupe de rôles Gestion de l’organisation dans Exchange Online.

Suivez les étapes ci-dessous pour vérifier si un compte possède les autorisations requises pour activer et rechercher les journaux d’audit. Si vous êtes un administrateur global pour votre client Office 365, ignorez les étapes ci-dessous et passez à la section suivante.

1. Ouvrez le Centre d’administration Exchange Online via admin.exchange.microsoft.com. Ensuite, développez Rôles et cliquez sur « Rôles d’administration ».
2. Dans la zone de recherche de la page « Rôles d’administration », entrez « gestion » pour ne retourner que les rôles qui incluent ce terme. Ensuite, cliquez sur le rôle Conformité Gestion.


3. Sur l’infobulle du rôle de gestion de la conformité, cliquez sur l’onglet « Assigné ». Tous les utilisateurs listés dans cet onglet ont la permission de consulter les journaux d’audit de recherche.

Pour ajouter un utilisateur à ce rôle, cliquez sur le bouton « Ajouter » – voir la deuxième capture d’écran.



4. Répétez l’étape 3 pour le rôle de gestion de l’organisation.


Aussi lireLes 15 meilleures commandes PowerShell Office 365 (Utilisateurs, Groupes, Licences)

Vérifiez l’état actuel du journal d’audit pour votre organisation.

Avant d’utiliser le portail de conformité Microsoft pour surveiller Office 365 journaux d’activité afin d’améliorer la sécurité des services de votre organisation, vous devez activer la surveillance des audits. Activé par défaut dans les organisations avec abonnements Microsoft 365 et Office 365 pour les entreprises.

Cependant, Microsoft peut ne pas activer l’audit par défaut dans certains abonnements Microsoft 365. Il est donc judicieux de vérifier si l’audit est activé dans votre client O365 avant de procéder.

Suivez les étapes ci-dessous pour vérifier l’état actuel de l’audit.

1. Utilisez les étapes de notre article Se connecter à Exchange Online à l’aide de PowerShell pour vous connecter à votre client Exchange Online.
2. Une fois que vous êtes connecté à Exchange Online, 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

L’image ci-dessous montre toutes les commandes dont vous avez besoin pour installer le module PowerShell Exchange Online. Ensuite, connectez-vous et exécutez la Get-AdminAuditLogConfig pour déterminer si l’audit est activé pour votre organisation.


Si la Get-AdminAuditLogConfig commande renvoie la propriété UnifiedAuditLogIngestionEnabled comme True, cela indique que l’audit unifié est activé pour votre organisation. Si elle renvoie une valeur de False, cela signifie que l’audit n’est pas activé.

Donc, à partir du résultat de ma commande Get-AdminAuditLogConfig , l’audit n’est PAS activé, car la valeur est False. Si c’est votre situation, passez à la section suivante pour activer l’audit.

Lisez également Comment vérifier si l’authentification multifacteur est activée dans Office 365 pour les utilisateurs

Activer les journaux d’audit unifiés Office 365

Microsoft propose 2 méthodes pour activer les journaux d’audit Office 365 afin de surveiller les journaux d’activité des utilisateurs pour une sécurité organisationnelleaméliorée. Plus précisément, faites cela via le Portail de conformité ou PowerShell

Activer l’audit à l’aide du Portail de conformité

1. Ouvrez – compliance.microsoft.com
2. Accédez à la section Solutions et cliquez sur Audit. Sinon, ouvrez directement la section Audit en cliquant sur compliance.microsoft.com/auditlogsearch.

3. Enfin, activez le journal d’audit unifié Microsoft 365, cliquez sur « Démarrer l’enregistrement de l’activité des utilisateurs et des administrateurs. »

Veuillez noter qu’il peut prendre jusqu’à 60 minutes pour que le changement prenne effet.

Lire aussi Déployer des rapports de contact Office 365

Activer l’audit à l’aide de Windows PowerShell

Si vous disposez toujours de la console PowerShell, où vous vous êtes connecté au module Exchange Online PowerShell, exécutez la commande ci-dessous pour activer l’audit unifié M365. Vous devez exécuter la première commande avant la seconde.

Vous pouvez recevoir un message d’erreur si vous exécutez la commande Set-AdminAuditLogConfig sans avoir exécuté la commande Enable-OrganizationCustomization en premier. 

Enable-OrganizationCustomization
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Notez que la commande Enable-OrganizationCustomization prend un certain temps pour se terminer. De plus, après avoir activé la journalisation d’audit unifiée, cela peut prendre jusqu’à 60 minutes pour entrer en vigueur.


Ensuite, réexécutez la commande Get-AdminAuditLogConfig pour confirmer l’état de la connexion d’audit. 

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Si vous avez activé l’audit avec succès via le Portail de conformité ou Windows PowerShell, la dernière commande devrait retourner UnifiedAuditLogIngestionEnabled comme Vrai. Voir l’image ci-dessous.


Enfin, vous pouvez désactiver la connexion d’audit unifiée pour votre organisation Microsoft 365 en exécutant la commande ci-dessous.

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

Également lire Office 365 vs Exchange Online — Quelle est la différence?

Rechercher et surveiller les journaux d’activité d’audit Office 365 pour une sécurité améliorée

Explorons comment le rechercher pour des activités utilisateur et d’administration pertinentes.

Dans cette section, nous vous montrons comment exécuter une recherche dans le journal d’audit et exporter le résultat au format CSV. De plus, nous expliquons comment analyser les journaux d’activité Office 365 exportés Activity Logs pour une sécurité améliorée.

Également lire Découvrez les rapports d’utilisateurs Office 365

Étape 1 (Option 1 de 2) :

Exécutez une recherche dans le journal d’audit Office 365 dans le portail de conformité

1. Ouvrez la page d’audit de conformité Microsoft compliance.microsoft.com/auditlogsearch. Ensuite, définissez les critères de recherche en suivant le numérotage de la capture d’écran ci-dessous :

(1) Plage de dates et d’heures (UTC): L’outil de recherche d’audit sélectionne par défaut les 7 derniers jours.

Toutefois, sélectionnez votre plage de données jusqu’à 90 jours à partir de la date de début. Notez que la sélection de plus de 90 jours renvoie un message d’erreur.

(2) Recherche par mot-clé: si vous avez besoin que l’outil d’audit unifié Office 365 recherche des journaux concernant un mot ou une phrase, entrez-le dans ce champ.

(3) Activités: un menu déroulant avec une longue liste de cases à cocher.

(4) Type de dossier: recherchez des types de dossiers spécifiques comme Azure Active Directory.

(5) Charge de travail: Pour filtrer les critères de recherche par charge de travail, cliquez sur le menu déroulant et cochez le service Office 365 à partir duquel vous souhaitez consulter les journaux d’audit.

(6) Utilisateurs: pour filtrer les journaux d’audit pour des utilisateurs spécifiques, utilisez le critère de recherche pour entrer leurs noms. Si vous laissez le champ utilisateur vide, l’outil de recherche du portail de conformité renvoie les journaux d’audit pour tous les utilisateurs à travers vos services Microsoft 365.

(7) Fichiers, dossiers ou sites: recherchez des activités liées à un fichier ou à un dossier contenant un mot-clé spécifique en tapant une partie ou la totalité de son nom. Permet également de spécifier l’URL d’un fichier ou d’un dossier.

(8) Nom de recherche: attribuez un nom à la recherche, puis cliquez sur Rechercher. Enfin, pour afficher l’état des rapports, cliquez sur Actualiser.

Aussi lire Obtenir les membres d’un groupe Active Directory et exporter vers CSV à l’aide de PowerShell

Étape 1 (Option 2 de 2):

Exécutez une recherche dans le journal d’audit Office 365 à l’aide de PowerShell

Utilisez PowerShell pour effectuer des recherches dans les journaux d’audit Office 365audit. Vous n’avez pas besoin d’utiliser PowerShell si vous avez déjà utilisé le Portail de conformité

1. Connectez-vous à Exchange Online à l’aide de PowerShell en exécutant les commandes suivantes dans l’ordre:

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName username@DomainNAme.com #change "[email protected]" to your M365 UPN

2. Une fois connecté à Exchange Online, exécutez la Search-UnifiedAuditLog pour rechercher dans le journal d’audit unifié Microsoft 365.

Les paramètres StartDate et EndDate sont les seuls paramètres obligatoires pour cette commande. Cependant, la commande dispose d’autres paramètres.

Les commandes ci-dessous recherchent tous les journaux d’audit des 30 derniers jours.

$EndDate = Get-date
$StartDate = (Get-date).AddDays(-30)
Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

La commande renvoie les données des journaux d’audit pour la période que vous spécifiez avec les paramètres StartDate et EndDate. Notez que la date de début doit être antérieure à la date de fin.

Lisez également Vérifiez les journaux d’audit Azure AD pour les connexions d’utilisateurs (succès / échecs)

Étape 2 : Afficher et exporter les journaux d’activité d’audit Office 365

Exporter le rapport vers CSV à partir du Portail de conformité ou via PowerShell.

Cliquez sur un rapport pour l’exporter à partir du Portail de conformité. Ensuite, cliquez sur le bouton Exporter. 

Le rapport d’audit Nouvelle recherche n’a donné aucun résultat lorsque nous avons écrit cet article en mai 2023. Je soupçonne qu’il y avait un bug avec cela. 

Nous avons donc utilisé la Recherche classique à la place. Enfin, pour télécharger les journaux d’audit, cliquez sur « Exporter », puis sélectionnez « Télécharger tous les résultats »

En alternative, si vous préférez exporter le résultat du vôtre journal d’audit unifié Microsoft 365 à l’aide de PowerShell, utilisez le script ci-dessous. 

Le script inclut certaines des commandes dans le « Étape 1 (Option 2 de 2) : Exécutez une recherche dans le journal d’audit Office 365 à l’aide de PowerShell ».

Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName "[email protected]" #change "[email protected]" to your M365 UPN
$StartDate = (Get-date).AddDays(-30)
$EndDate = Get-date
# Run the Search-UnifiedAuditLog cmdlet and store the results in a variable
$auditLogResults = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate

# Convert the AuditData property of each NoteProperty object into a PowerShell object and select the desired properties
$table = $auditLogResults.AuditData | ForEach-Object {
    $auditData = ConvertFrom-Json $_
    [PSCustomObject] @{
        CreationTime = $auditData.CreationTime
        RecordType = $auditData.RecordType
        "Op Performed By" = $auditData.UserDisplayName
        "Op UserType" = $auditData.UserType
        "Op UserKey" = $auditData.UserKey
        "Op ClientIP" = $auditData.ClientIP
        Operation = $auditData.Operation
        ResultStatus = $auditData.ResultStatus
        ModifiedProperties = ($auditData.ModifiedProperties | Out-String).Trim()
    }
}

# Display the resulting table
$table | Format-Table
# Export the resulting table to a CSV file
$table | Export-Csv -Path "D:\report\auditLogResults.csv" -NoTypeInformation

# Exécutez la commande Search-UnifiedAuditLog et stockez les résultats dans une variable

# Convertissez la propriété AuditData de chaque objet NoteProperty en un objet PowerShell et sélectionnez les propriétés désirées

# Affichez le tableau résultant

# Exportez le tableau résultant dans un fichier CSV

Le script affiche les résultats dans la console PowerShell et les exporte vers un fichier CSV.


Lire aussi Comment sécuriser Azure AD contre les cybermenaces

Étape 3: Analysez les journaux d’activité 365 et utilisez-les pour une sécurité améliorée

Certaines organisations surveillent les journaux d’activité Office 365 pour une sécurité améliorée, tandis que d’autres le font pour des raisons de conformité.
Après avoir exporté les journaux d’audit M365, l’étape suivante consiste à les analyser.

Nous avons inclus un exemple de rapport que nous avons exporté en utilisant le script PowerShell ci-dessus.

  • Lors de l’utilisation du rapport pour améliorer la sécurité, recherchez des modèles et des actions potentielles qui pourraient conduire à des violations de sécurité. En revanche, si vous avez besoin des journaux d’audit à des fins de conformité, recherchez des cas de violations de conformité.
  • Also Read Utilisation de stratégies d’accès conditionnel pour améliorer la sécurité d’Office 365
  • Comment surveiller les journaux d’activité d’Office 365 pour une sécurité améliorée Conclusion
  • En conclusion, en surveillant les journaux d’activité d’Office 365, vous renforcez la sécurité de votre organisation. Tout au long de ce guide, nous avons abordé les points suivants:
  • Une vue d’ensemble de l’Audit Logging unifié d’Office 365, y compris les services Microsoft 365 qu’il prend en charge.

Licences et autorisations de journal d’audit Microsoft 365, qui sont nécessaires pour surveiller les journaux d’activité d’Office 365.

Source:
https://infrasos.com/how-to-monitor-office-365-activity-logs-for-improved-security/