logo

Comment configurer les journaux d’audit d’Office 365

Microsoft Office 365 est un écosystème robuste et diversifié qui fait appel à de multiples services, tels que Microsoft Teams, Exchange Online, Azure AD, SharePoint Online et OneDrive Entreprise. Cela fait beaucoup de choses à surveiller, et les administrateurs généraux doivent souvent superviser plusieurs sous-administrateurs et parfois des milliers d’utilisateurs.

Les journaux d’audit d’Office 365 vous permettent de suivre l’activité des administrateurs et des utilisateurs, et notamment de savoir qui accède, consulte ou déplace des documents spécifiques et comment les ressources sont utilisées. Ces journaux sont indispensables pour enquêter sur les incidents de sécurité et prouver votre conformité. Cependant, les journaux natifs présentent des limites, ce qui fait que des services supplémentaires sont généralement nécessaires pour surveiller efficacement les activités, assurer la sécurité des systèmes et garantir la conformité réglementaire.

Comment configurer les journaux d’audit d’Office 365

L’audit des journaux natifs n’est pas activé par défaut. Pour activer l’audit des journaux natifs :

  • Dans le Centre de sécurité et de conformité d’Office 365,
  • allez dans « Recherche » puis « Recherche dans le journal d’audit ».
  • Cliquez sur « Activer l’audit ».

Alternativement, vous pouvez activer l’audit des journaux en utilisant cette commande PowerShell :

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

La journalisation des audits pour Power BI et d’autres applications auxiliaires n’est pas non plus activée par défaut ; vous devez l’activer dans des portails d’administration distincts pour obtenir ces enregistrements d’audit.

Consultez vos conditions de licence pour savoir combien de temps vos données de journaux peuvent être stockées. Par exemple, la durée maximale est actuellement de 90 jours pour une licence Office 365 E3 et d’un an pour une licence Office 365 E5.

Comment effectuer une recherche dans les journaux d’audit

Prérequis

Avant de pouvoir effectuer une recherche dans un journal d’audit, un administrateur doit accorder des autorisations à votre compte, soit « Journaux d’audit en affichage uniquement », soit « Journaux d’audit ».

À partir du moment où vous activez l’audit des journaux, il se peut que vous deviez attendre plusieurs heures avant de pouvoir effectuer une recherche dans les journaux d’audit.

Remarquez qu’une recherche unifiée dans les journaux d’audit rassemble les analyses de plusieurs services d’Office 365 dans un seul rapport de journal, ce qui nécessite entre 30 minutes et 24 heures.

Procédure

Pour effectuer une recherche dans les journaux d’audit, procédez comme suit :

1. Connectez-vous.

Connectez-vous sur https://protection.office.com.

Astuce : Pour éviter que vos identifiants courants ne soient utilisés automatiquement, ouvrez une session de navigation privée :

  • Dans Internet Explorer ou Edge, appuyez sur CTRL+SHIFT+P.
  • Dans la plupart des autres navigateurs, appuyez sur CTRL+Maj+N.

2. Commencez une nouvelle recherche.

Dans le Centre de sécurité et de conformité, cliquez sur « Recherche » dans le volet de gauche. Ensuite, sélectionnez « Recherche dans le journal d’audit ».

3. Configurez vos critères de recherche.

Les principaux critères à préciser sont les suivants :

  • Activités – Consultez la liste Microsoft des activités auditées. Il y en a plus de 100, Microsoft les a donc regroupées en activités connexes. Si vous ne limitez pas cette liste, votre rapport d’audit comprendra toutes les activités réalisées pendant la période spécifiée.
  • Dates – La période par défaut est les sept derniers jours, mais vous pouvez choisir toute période des 90 derniers jours.
  • Utilisateurs – Spécifiez quel utilisateur ou groupe d’utilisateurs vous souhaitez inclure dans votre rapport.
  • Emplacement – Si vous souhaitez limiter la recherche à un fichier, un dossier ou un site particulier, entrez un emplacement ou un mot-clé.

Les autres critères de recherche sont notamment :

  • Activités liées à un site Web – Ajoutez un astérisque après l’URL pour afficher toutes les entrées relatives à ce site. Par exemple, « https://contoso-my.sharepoint.com/personal/* ».
  • Activités liées à un fichier particulier – Ajoutez un astérisque avant le nom du fichier pour afficher toutes les entrées relatives à celui-ci. Par exemple, « *Customer_Profitability_Sample.csv ».

4. Filtrez les résultats de recherche.

Les critères de recherche sont utiles pour obtenir une vue d’ensemble, mais le filtrage des résultats de recherche vous permettra de fouiller les données plus efficacement. Vous pouvez entrer des mots clés, des dates spécifiques, des utilisateurs, des éléments ou d’autres détails.

Remarquez également que la recherche est plafonnée aux 5000 événements les plus récents. Si votre recherche renvoie exactement 5000 éléments, vous avez sans doute atteint le maximum de résultats. Affinez davantage votre recherche pour afficher toutes les données pertinentes dans la période que vous avez définie, sans que des informations cruciales ne soient omises.

Vous pouvez aussi générer un rapport de données brutes conforme à vos critères de recherche en rassemblant les données dans un fichier csv. Cela vous permet de télécharger jusqu’à 50 000 événements au lieu de 5000. Pour générer plus de 50 000 événements, définissez plusieurs périodes plus courtes et combinez les résultats manuellement.

5. Enregistrez vos résultats.

Pour enregistrer vos résultats, cliquez sur « Exporter les résultats » et sélectionnez « Enregistrer les résultats chargés », afin de générer un fichier CSV contenant vos données. Vous pouvez utiliser Microsoft Excel pour accéder à ce fichier ou partager les résultats sous forme de rapport.

La colonne « AuditData » (Données d’audit) est constituée d’un objet JSON qui contient plusieurs propriétés du journal d’audit. Pour trier et filtrer ces propriétés, utilisez l’outil de transformation JSON dans l’éditeur Power Query d’Excel : scindez la colonne « AuditData » (Données d’audit) et donnez à chaque propriété sa propre colonne.

Pour en savoir plus, consultez la page Exporter, configurer et afficher les enregistrements du journal d’audit.

Limites des recherches dans les journaux d’audit natifs d’Office 365

La fouille manuelle des journaux d’audit d’Office 365 s’avère souvent une épreuve longue et difficile. Les outils de recherche sont bien sûr utiles, mais prenez en compte les inconvénients suivants lorsque vous déciderez de la manière de gérer les audits au sein de votre organisation :

  • Les activités suspectes sont difficiles à repérer – Il faut un œil exercé pour interpréter les données, surtout si vous n’êtes pas préalablement informé d’un problème impliquant un utilisateur ou un fichier spécifique.
  • La sécurité de vos données d’audit est difficile à assurer – Les données détaillées de chaque événement de votre système sont des informations très sensibles. Si les options d’exportation par défaut sont pratiques, elles rendent vos fichiers plus vulnérables.
  • Il est très difficile de produire des rapports compréhensibles – Pour obtenir un rapport, vous devez exporter des données d’audit spécifiques dans un fichier CSV, qui doivent ensuite être triées et interprétées avant de pouvoir être utilisées.
  • Les options de filtrage sont limitées – La recherche dans les journaux d’audit natifs n’offre pas d’options de filtrage étendues, si bien qu’il est plus difficile de trouver des informations pertinentes.
  • Seuls quelques rapports de journaux prédéfinis sont disponibles – Si vous souhaitez d’autres rapports, vous devez les créer manuellement. De plus, il n’existe pas d’option d’abonnement aux rapports ni de fonction native permettant d’enregistrer des recherches personnalisées.
  • La plupart des propriétés sont regroupées en un seul JSON – Le JSON AuditData peut contenir différentes propriétés selon l’événement d’audit. Ceci génère beaucoup de bruit inutile autour des détails importants que vous essayez d’obtenir à partir de vos données d’audit.
  • Les données d’audit sont stockées pour une durée limitée – Comme l’abonnement standard de Microsoft ne prévoit qu’une période de conservation des données de 90 jours pour les journaux d’audit, vous devez télécharger et enregistrer régulièrement vos journaux d’audit, puis tenter de les fusionner pour obtenir une vision à plus long terme des activités. Si vous oubliez de sauvegarder les journaux, votre enregistrement présentera des lacunes.

Autres moyens d’accéder aux données des journaux d’audit

API Activité de gestion Office 365

L’API Activité de gestion Office 365 vous permet de visualiser les données des événements relatifs au système d’administration, aux utilisateurs et aux stratégies à partir des journaux d’activité d’Office 365 et d’Azure AD. Cet outil vous permet de contrôler, d’analyser et de visualiser les données d’audit.

Netwrix Auditor

Netwrix Auditor vous permet – en toute facilité – de vous tenir informé des activités de votre environnement informatique et de prévenir les problèmes de manière proactive, tout en assurant une bonne organisation des données. Cette solution offre une visibilité accrue sur les activités et les configurations de vos environnements OneDrive Entreprise, SharePoint Online, Exchange Online et Azure AD.