Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les solutions d’audit Microsoft Purview fournissent une solution intégrée pour aider les organisations à répondre efficacement aux événements de sécurité, aux enquêtes médico-légales, aux enquêtes internes et aux obligations de conformité. Le journal d’audit unifié de votre organization capture, enregistre et conserve des milliers d’opérations utilisateur et administrateur effectuées dans des dizaines de services et de solutions Microsoft. Les opérations de sécurité, les administrateurs informatiques, les équipes chargées des risques internes et les enquêteurs de conformité et juridiques de votre organization peuvent rechercher ces événements dans les enregistrements d’audit. Cette fonctionnalité offre une visibilité sur les activités effectuées dans votre organization.
Comparaison des principales fonctionnalités
Le tableau suivant compare les fonctionnalités clés disponibles dans Audit (Standard) et Audit (Premium). Audit (Premium) inclut toutes les fonctionnalités d’audit (Standard).
| Fonctionnalité | Audit (Standard) | Audit (Premium) |
|---|---|---|
| Activé par défaut |
|
|
| Des milliers d’événements d’audit peuvent faire l’objet de recherches. |
|
|
| Outil de recherche d’audit dans le portail Microsoft Purview |
|
|
| Auditer les API Graph de recherche |
|
|
| Cmdlet Search-UnifiedAuditLog. |
|
|
| Exporter des enregistrements d’audit dans un fichier CSV. |
|
|
| Accès aux journaux d’audit via l’API Activité de gestion Office 3651. |
|
|
| Conservation du journal d’audit de 180 jours |
|
|
| Conservation du journal d’audit jusqu’à 1 an |
|
|
| Rétention du journal d’audit de 10 ans 2 |
|
|
| Stratégies de rétention du journal d'audit |
|
|
| Insights intelligents |
|
Remarque
1 Audit (Premium) inclut un accès à bande passante plus élevée à l’API Office 365 Management Activity, qui fournit un accès plus rapide aux données d’audit.
2 En plus des licences requises pour Audit (Premium) (décrites dans la section suivante), un utilisateur doit se voir attribuer une licence de rétention du journal d’audit de 10 ans pour conserver ses enregistrements d’audit pendant 10 ans.
Audit (Standard)
Microsoft Purview Audit (Standard) vous permet de journaliser et de rechercher des activités auditées pour prendre en charge vos enquêtes judiciaires, informatiques, de conformité et juridiques.
Activé par défaut. L’audit (Standard) est activé par défaut pour toutes les organisations disposant de l’abonnement approprié. Cette configuration capture et rend les enregistrements pouvant faire l’objet d’une recherche pour les activités auditées. Vous devez uniquement attribuer les autorisations nécessaires pour accéder à l’outil de recherche dans les journaux d’audit (et à l’applet de commande correspondante) et vous assurer que les utilisateurs disposent de la licence appropriée pour les fonctionnalités Microsoft Purview Audit (Premium).
Des milliers d’événements d’audit peuvent faire l’objet de recherches. Vous pouvez rechercher un large éventail d’activités auditées qui se produisent dans la plupart des services Microsoft de votre organization. Pour obtenir la liste des activités que vous pouvez rechercher, consultez Activités du journal d’audit. Pour obtenir la liste des services et fonctionnalités qui prennent en charge les activités auditées, consultezType d’enregistrement du journal d’audit.
Outil de recherche d’audit dans le portail Microsoft Purview. Utilisez l’outil de recherche dans le journal d’audit dans le portail pour rechercher des enregistrements d’audit. Vous pouvez rechercher des activités spécifiques, des activités effectuées par des utilisateurs spécifiques et des activités qui se sont produites dans une plage de dates.
Auditer les API Graph de recherche. Microsoft Graph offre un point de terminaison d’API unifié pour accéder aux données de plusieurs services cloud Microsoft en une seule réponse. Le API Graph De recherche d’audit vous permet d’accéder par programmation à l’expérience de recherche d’audit via Microsoft Graph.
Cmdlet Search-UnifiedAuditLog. Vous pouvez également utiliser la cmdlet Search-UnifiedAuditLog dans Exchange Online PowerShell (cmdlet sous-jacente pour l’outil de recherche) pour rechercher des événements d’audit ou les utiliser dans un script. Pour plus d'informations, voir :
Exporter des enregistrements d’audit dans un fichier CSV. Après avoir exécuté l’outil de recherche dans les journaux d’audit dans le portail Microsoft Purview, vous pouvez exporter les enregistrements d’audit retournés par la recherche dans un fichier CSV. Ce processus vous permet d’utiliser Microsoft Excel pour trier et filtrer sur différentes propriétés d’enregistrement d’audit. Vous pouvez également utiliser la fonctionnalité de transformation de Power Query d’Excel pour diviser chaque propriété de l’objet JSON AuditData dans sa propre colonne. Ce processus vous permet d’afficher et de comparer efficacement des données similaires pour différents événements. Pour plus d’informations, consultez Exporter, configurer et afficher des enregistrements du journal d’audit.
Accès aux journaux d’audit via l’API Activité de gestion d’Office 365. Une troisième méthode pour accéder et récupérer des enregistrements d’audit consiste à utiliser l’API Activité de gestion d’Office 365. Cette méthode permet aux organisations de conserver les données d’audit pendant des périodes plus longues que les 180 jours par défaut et d’importer leurs données d’audit dans une solution SIEM. Pour plus d’informations, consultez Référence de l’API Activité de gestion Office 365.
Conservation du journal d’audit de 180 jours. Lorsqu’un utilisateur ou un administrateur effectue une activité auditée, le système génère un enregistrement d’audit et le stocke dans le journal d’audit pour votre organization. Dans Audit (Standard), le système conserve les enregistrements pendant 180 jours, ce qui signifie que vous pouvez rechercher des activités qui se sont produites au cours des six derniers mois.
Importante
La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours.
Audit (Premium)
Importante
Recherche classique mise hors service le 30 novembre 2023. La nouvelle recherche inclut des améliorations telles que des temps de recherche plus rapides, des options de recherche supplémentaires, la possibilité d’enregistrer des recherches, etc.
Audit (Premium) s’appuie sur les fonctionnalités de l’audit (Standard) en fournissant des stratégies de rétention des journaux d’audit, une conservation plus longue des enregistrements d’audit, des insights intelligents à valeur élevée et un accès plus élevé à la bande passante à l’API d’activité de gestion Office 365.
- Stratégies de rétention du journal d'audit. Créez des stratégies personnalisées de rétention des journaux d’audit pour conserver les enregistrements d’audit pendant des périodes plus longues, jusqu’à un an (et jusqu’à 10 ans pour les utilisateurs disposant de la licence d’extension requise). Créez une stratégie pour conserver les enregistrements d’audit en fonction du service où se produisent les activités auditées, des activités auditées spécifiques ou de l’utilisateur qui effectue une activité auditée.
- Rétention plus longue des enregistrements d’audit. Les enregistrements d’audit Microsoft Entra ID, Exchange, OneDrive et SharePoint sont conservés pendant un an par défaut. Les enregistrements d’audit pour toutes les autres activités sont conservés pendant 180 jours par défaut, ou vous pouvez utiliser des stratégies de rétention des journaux d’audit pour configurer des périodes de rétention plus longues.
- Auditer (Premium) des insights intelligents. Les enregistrements d’audit pour des insights intelligents peuvent aider votre organization à mener des enquêtes d’investigation et de conformité en fournissant une visibilité sur des événements tels que le moment où des éléments de courrier ont été consultés, ou quand des éléments de courrier ont été répondus et transférés, ou quand et ce qu’un utilisateur a recherché dans Exchange Online et SharePoint Online. Ces insights intelligents peuvent vous aider à examiner les violations possibles et à déterminer l’étendue de la compromission.
- Bande passante supérieure à l’API Activité de gestion Office 365. Audit (Premium) fournit aux organisations plus de bande passante pour accéder aux journaux d’audit via l’API Office 365 Management Activity. Bien que toutes les organisations (qui disposent d’audit (Standard) ou d’audit (Premium)) reçoivent initialement une base de référence de 2 000 demandes par minute, cette limite augmente dynamiquement en fonction du nombre de sièges d’un organization et de son abonnement de licence. Cette modification entraîne l’obtention d’environ deux fois plus de bande passante que les organisations avec Audit (Standard).
Conservation à long terme des journaux d’audit
Audit (Premium) conserve tous les enregistrements d’audit Exchange, SharePoint et Microsoft Entra pendant un an. Cette rétention se produit par le biais d’une stratégie de rétention du journal d’audit par défaut qui conserve tout enregistrement d’audit qui contient la valeur d’AzureActiveDirectory, Exchange, OneDrive ou SharePoint, pour la propriété Workload (qui indique le service dans lequel l’activité s’est produite) pendant un an. La conservation des enregistrements d’audit pendant des périodes plus longues peut aider à effectuer des enquêtes judiciaires ou de conformité en cours. Pour plus d’informations, voir la section « Stratégie de rétention du journal d’audit par défaut » dans Gérer les stratégies de rétention du journal d’audit.
En plus des fonctionnalités de rétention d’un an de l’audit (Premium), nous avons également publié la possibilité de conserver les journaux d’audit pendant 10 ans. La rétention de 10 ans des journaux d’audit permet de faciliter les investigations de longue durée et de répondre aux obligations réglementaires, légales et internes.
Remarque
La conservation des journaux d’audit pendant 10 ans nécessite une licence complémentaire supplémentaire par utilisateur. Une fois que vous avez attribué cette licence à un utilisateur et défini une stratégie de rétention du journal d’audit de 10 ans appropriée pour cet utilisateur, les journaux d’audit couverts par cette stratégie commencent à être conservés pendant la période de 10 ans. Cette stratégie n’est pas rétroactive et ne peut pas conserver les journaux d’audit générés avant la création de la stratégie de rétention du journal d’audit de 10 ans.
Stratégies de rétention du journal d'audit
Tous les enregistrements d’audit générés par d’autres services et que la stratégie de rétention du journal d’audit par défaut ne couvre pas sont conservés pendant 180 jours. Vous pouvez créer des stratégies de rétention des journaux d’audit personnalisées pour conserver d’autres enregistrements d’audit pendant des périodes plus longues, jusqu’à 10 ans. Vous pouvez créer une stratégie pour conserver les enregistrements d’audit basés sur un ou plusieurs critères énumérés ci-après :
Service Microsoft dans lequel les activités auditées se produisent.
Activités auditées spécifiques.
L’utilisateur effectuant une activité auditée.
Importante
La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours. Vous pouvez également spécifier la durée de conservation des enregistrements d’audit qui correspondent à la stratégie et à un niveau de priorité afin que des stratégies spécifiques prennent la priorité sur d’autres stratégies. Toute stratégie de rétention de journal d’audit personnalisée est prioritaire sur la stratégie de rétention d’audit par défaut si vous devez conserver les enregistrements d’audit Exchange, SharePoint ou id Microsoft Entra pendant moins d’un an ou pendant 10 ans pour certains ou tous les utilisateurs de votre organization. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.
Importante
La durée de vie de l’élément d’audit pour les données est déterminée lorsque le pipeline d’audit ajoute les données et est basé sur les paramètres de licence par défaut ou les stratégies de rétention applicables. Toute modification apportée aux licences ou aux stratégies de rétention applicables modifie le délai d’expiration des données d’audit après la mise à jour. Ces modifications n’affectent aucun élément précédemment commité.
Auditer (Premium) les propriétés de l’activité
Audit (Premium) aide les organisations à mener des enquêtes d’investigation et de conformité en fournissant l’accès à des événements importants, tels que lorsque les utilisateurs accèdent à des éléments de courrier, répondent à des éléments de courrier et les transfèrent, et effectuent des recherches dans Exchange Online et SharePoint Online. Ces événements peuvent vous aider à identifier les violations possibles et déterminer l’étendue de la compromission. En plus de ces événements dans Exchange et SharePoint, d’autres services Microsoft incluent des événements importants qui nécessitent l’attribution aux utilisateurs de la licence Audit (Premium) appropriée. Attribuez une licence Audit (Premium) aux utilisateurs afin que le système génère des journaux d’audit lorsqu’ils effectuent ces événements.
Ces activités nécessitent que vous affectiez aux utilisateurs la licence Audit (Premium) appropriée. Attribuez une licence d’audit (Premium) aux utilisateurs afin que le système génère des journaux d’audit lorsqu’ils effectuent ces activités et propriétés.
Audit (Premium) permet d’accéder aux propriétés d’activité suivantes :
Exchange Online
| Activité | Propriété |
|---|---|
| MailItemsAccessed | SensitivityLabel |
Microsoft Teams
| Activité | Propriété |
|---|---|
| ChatCreated | AppAccessContext |
| ChatRetrieved | AppAccessContext |
| ChatUpdated | AppAccessContext |
| MeetingParticipantDetail | IsJoinedFromLobby ArtifactShared |
| MessageCreatedNotification | AppAccessContext |
| MessageDeletedNotification | AppAccessContext |
| MessageHostedContentsListed | AppAccessContext |
| MessageHostedContentRead | AppAccessContext |
| MessagesListed | AppAccessContext |
| MessageRead | AppAccessContext |
| MessageSent | AppAccessContext ParticipatingDomainInformation ParticipantInfo |
| MessageUpdated | ParticipantInfo AppAccessContext |
| MessageUpdatedNotification | AppAccessContext |
| SubscribedToMessages | AppAccessContext |
Accès haut débit à l’API Activité de gestion Office 365
Les organisations qui accèdent aux journaux d’audit via l’API d’activité de gestion Office 365 ont fait face à des limites de limitation au niveau de l’éditeur. Cette limite de limitation signifiait que si un éditeur extrayait des données pour plusieurs clients, tous ces clients partageaient la même limite.
Avec Audit (Premium), cette limite est passée d’une limite au niveau de l’éditeur à une limite au niveau du locataire. Chaque organization obtient désormais son propre quota de bande passante entièrement alloué pour accéder à ses données d’audit. La bande passante n’est pas une limite statique prédéfinie. Au lieu de cela, il est modélisé sur une combinaison de facteurs, y compris le nombre de sièges dans le organization. Les organisations E5, A5 et G5 obtiennent plus de bande passante que les organisations non-E5, non-A5 et non-G5.
Toutes les organisations reçoivent initialement une base de référence de 2 000 demandes par minute. Cette limite augmente dynamiquement en fonction du nombre de sièges et de l’abonnement de licence d’un organization. Les organisations E5, A5 et G5 obtiennent environ deux fois plus de bande passante que les organisations non-E5, non-A5 et non-G5. Une limite de bande passante maximale protège l’intégrité du service.
Pour plus d’informations, consultez la section Limitation des API dans Office 365 informations de référence sur l’API Activité de gestion.
Conditions d'octroi de licence
Avant de commencer, passez en revue les conditions d’abonnement pour Audit (Standard) et Audit (Premium).
Formation
La formation de votre équipe des opérations de sécurité, des administrateurs informatiques et des enquêteurs de conformité aux principes de base de l’audit (Standard) et de l’audit (Premium) peut aider votre organization à commencer plus rapidement à utiliser l’audit pour faciliter vos investigations. Microsoft Purview fournit la ressource suivante pour aider ces utilisateurs de votre organization à bien démarrer avec l’audit : Décrire les fonctionnalités d’eDiscovery et d’audit de Microsoft Purview.