Comment réaliser un audit à l’aide de Microsoft 365 Defender

microsoft-365-defender
LinkedIn

Si un incident lié à la sécurité ou à la conformité se produit dans votre environnement Microsoft 365, il est important de trouver la source du problème. Heureusement, Microsoft fournit une interface d’audit très agréable au sein du portail Microsoft 365 Defender qui peut vous aider à rechercher tout événement dans votre environnement Microsoft 365.

Dans cet article, je vais vous montrer comment effectuer un audit à l’aide de Microsoft 365 Defender. Commençons.

Réalisation d’un audit

J’ai décomposé le processus d’exécution d’un audit en 4 étapes. Commençons par accéder à l’interface d’audit.

Accès à l’interface d’audit

Comme mentionné précédemment, si vous souhaitez auditer votre environnement Microsoft 365, vous devrez utiliser le portail Microsoft 365 Defender. Vous pouvez accéder à l’interface d’audit en effectuant les étapes suivantes :

  1. Connectez-vous à Microsoft 365
  2. Cliquez sur Admin pour ouvrir le centre d’administration Microsoft 365.
  3. Cliquez sur Sécurité pour ouvrir le portail Microsoft 365 Defender (selon votre type de licence Microsoft 365, vous devrez peut-être cliquer sur Tous les centres d’administration, puis sur Sécurité).
  4. Sélectionnez l’onglet Audit

Vous êtes maintenant prêt à effectuer une recherche d’audit.

Effectuer une recherche d’audit

L’audit des événements par Microsoft 365 Defender implique essentiellement l’interrogation des journaux d’audit de Microsoft 365. L’interface d’audit, que vous pouvez voir dans la capture d’écran ci-dessous, comprend de nombreuses options d’interrogation.

dashboard-microsoft365-defender
Interface permettant d’intérroger les journaux d’audit de Microsoft 365

La première chose à faire est de spécifier une plage de dates et d’heures. Microsoft 365 peut produire un nombre impressionnant d’entrées de journal. Le fait de spécifier une plage de dates et d’heures peut donc vous aider à réduire les résultats. Il est ainsi beaucoup plus facile de trouver ce que vous recherchez.

Ensuite, vous devez spécifier le type d’activité que vous recherchez. Le menu déroulant Activités, comme le montre la capture d’écran ci-dessous, contient des dizaines d’activités parmi lesquelles vous pouvez choisir. Vous pouvez en sélectionner une ou plusieurs, en fonction de vos besoins. Vous pouvez également rechercher une activité spécifique à l’aide du champ de recherche très pratique.

dashboard defender 365 audit
De nombreux types d’activités à choisir !

Ensuite, vous pouvez spécifier les utilisateurs dont vous souhaitez examiner les journaux. De plus, dans le champ Utilisateurs, vous pouvez spécifier des fichiers, des dossiers ou des sites individuels. Enfin, vous pouvez utiliser le champ mot-clé pour rechercher tous les journaux contenant un mot-clé spécifique.

Lorsque vous avez terminé de saisir vos critères de recherche, cliquez sur le bouton Rechercher. Votre audit sera mis en file d’attente en tant que tâche (comme indiqué dans la capture d’écran ci-dessous). Vous pouvez également cliquer sur le bouton Rafraîchir pour obtenir des mises à jour sur l’état de la tâche.

fil d'attente microsoft 365
Microsoft 365 Defender mettra en file d’attente votre travail de recherche

Lorsque la recherche est terminée, la colonne État du travail indique le statut Terminé. Si vous cliquez sur le mot Terminé, Microsoft 365 Defender affichera les résultats de la recherche. Vous pouvez voir un exemple de travail terminé dans la capture d’écran ci-dessous.

Examen des résultats de l’audit

Lorsque vous examinez le rapport d’audit (comme indiqué dans la capture d’écran précédente), vous pouvez cliquer sur n’importe quelle entrée du journal pour obtenir des détails supplémentaires. Ces détails varient considérablement en fonction du type d’entrée de journal sur lequel vous cliquez. Si vous êtes submergé par le nombre excessif d’entrées répertoriées, vous pouvez utiliser le bouton Filtre pour réduire les résultats.

Vous pouvez également exporter les résultats de la recherche vers un fichier en cliquant sur le bouton Exporter illustré dans la capture d’écran précédente. Là encore, vous devrez rafraîchir l’affichage avant que le lien de téléchargement n’apparaisse.

Une dernière chose à mentionner concerne les politiques de conservation des audits. Permettez-moi d’expliquer brièvement ce point avant de conclure.

Configuration des paramètres de conservation des audits

Les rapports d’audit extraient les résultats des journaux d’audit de Microsoft 365. De ce fait, vous ne verrez un résultat de recherche que si ce que vous recherchez apparaît dans une entrée du journal. Il est donc utile de prendre un moment pour examiner vos politiques de conservation des audits.

En haut de l’interface d’audit, vous pouvez voir l’onglet Politiques de conservation des audits. En cliquant sur cet onglet, vous accédez à un écran (illustré dans la capture d’écran ci-dessous) où vous pouvez créer une politique de conservation des audits. Pour en créer une, il suffit de suivre les étapes suivantes :

  1. Cliquez sur le lien Créer une politique de conservation des audits
  2. Saisissez un nom et une description facultative pour la nouvelle politique.
  3. Choisissez les utilisateurs ou les types d’enregistrements pour lesquels la politique doit s’appliquer.
  4. Saisissez la durée de la politique (vous pouvez sauvegarder les journaux pendant un minimum de 90 jours et un maximum de 10 ans).
  5. Saisissez la priorité de la politique (la priorité est juste un nombre qui détermine la priorité de la politique au cas où vous voudriez créer des politiques multiples et contradictoires ; les numéros de priorité inférieurs ont une priorité plus élevée).
  6. Cliquez sur Enregistrer
retention policy microsoft 365
Il s’agit de l’interface permettant de créer une nouvelle politique de conservation des audits.

Très bien, il est temps de récapituler.

Conclusion

En substance, un problème lié à la sécurité ou à la conformité peut causer beaucoup de problèmes s’il n’est pas rectifié immédiatement. L’audit de Microsoft 365 peut vous aider à identifier la source de ces incidents. Grâce à l’interface d’audit, vous pouvez créer des journaux détaillés qui peuvent vous aider à identifier rapidement les problèmes en question. L’interface elle-même est également complète, offrant de nombreux critères pour vous aider dans votre recherche.

Dans l’ensemble, j’espère que cet article vous a aidé d’une manière ou d’une autre. Comme toujours, n’hésitez pas à l’enregistrer comme point de référence pour l’avenir.

Vous avez d’autres questions sur l’audit de Microsoft 365 ou d’autres sujets connexes ? Consultez les sections FAQ et Ressources ci-dessous !

LinkedIn

Assistance rapide windows

Microsoft Entra ID : Comment configurer la réinitialisation de mot de passe en libre service ?

Photo of author

Auteur : Samir Konaté

Passionner de nouvelles technologies, je vous partagerai ici à mes connaissances qui pourront servir aux nouveaux apprenants à facilement s'initier aux nouveaux concepts. Particulièrement le cloud, la virtualisation et l'administration des OS Windows serveur et Linux.

Laisser un commentaire