Quels événements puis-je configurer dans Office Protect? 

Office Protect Monitor vous permet de configurer les événements que vous souhaitez surveiller et de définir les destinataires des Alerts (alertes) et des Digests (résumés).

 

Les Alerts (alertes) signalent des événements ayant un impact immédiat sur la sécurité de votre client Microsoft 365. Ils sont envoyés quand ils se produisent.

 

Les Digests (résumés) sont des récapitulatifs des événements récents et peuvent être utilisés pour compiler pour votre revue. Ils sont envoyés à intervalles réguliers.

 

Tous les événements sont accessibles dans la section REPORT (rapport).

 


Événements pouvant être configuré : 

Account Deleted

Compte supprimé

Qu'est-ce qui déclenche cet événement?

Toute suppression de compte dans Microsoft 365.

Du point de vue de la sécurité, la suppression de compte est une action très courante pour les pirates vandales qui ont accès à une organisation. Du point de vue de la surveillance interne, la suppression de compte est souvent une erreur. 

Administrator Role Change

Changement de rôle d'un administrateur

Qu'est-ce qui déclenche cet événement?

Any change to user permission involving administrator privilege.

Actions à l'origine de cet événement : nouvel administrateur créé ; compte administrateur supprimé ; utilisateur accordé des droits d'administrateur ; droits d'administrateur d'utilisateur révoqués. L'escalade de privilèges est une partie importante du comportement des hackers. Toute modification des privilèges d'administrateur est un gros drapeau rouge et doit être surveillée. Le « principe du moindre privilège» devrait être suivi et le moins de droits possible devrait être accordé tout en permettant un fonctionnement correct. 

Email Impersonation

Emprunt d'identité par courrier électronique

Qu'est-ce qui déclenche cet événement?

Tout courrier électronique envoyé à l'aide de la fonctionnalité Exchange «Envoyer en tant que» pour emprunter l'identité de quelqu'un d'autre.

Exchange permet aux utilisateurs autorisés d’envoyer des courriers électroniques en toute transparence. Cela peut être utilisé dans le cadre d'opérations plus importantes, telles que le phishing ou pour des abus internes. Cela diffère de «Envoyer de la part de», qui est beaucoup plus transparent. Les boîtes aux lettres partagées sont exclues de cet événement. 

Email Transport Rule to External Domain Created

Règle de transport de courrier électronique vers un domaine externe créée

Qu'est-ce qui déclenche cet événement?

La création d'une règle de transport Exchange transférant automatiquement les courriers électroniques vers un domaine externe.

C'est une méthode couramment utilisée par les attaquants pour l'extraction de données. Ils envoient automatiquement des informations en dehors de l'entreprise. 

File Shared Publicly (anonymous)

Fichier partagé publiquement (anonyme)

Qu'est-ce qui déclenche cet événement?

Tout partage d'un fichier à partir de SharePoint ou OneDrive d'une manière qui permette aux utilisateurs anonymes (c'est-à-dire n'importe qui) d'y accéder.

Dans un environnement professionnel, il existe peu de bonnes raisons de partager un fichier d’entreprise avec des cibles anonymes. Il élimine tous les mécanismes de suivi et de conformité liés à l'extraction de données. Les utilisateurs doivent utiliser des partages nommés. 

Health Status Decline

État de santé en déclin

Qu'est-ce qui déclenche cet événement?

L’abaissement de l’état de santé (Health Status) de votre organisation.

La fonctionnalité Health Status (Statut d'intégrité) vous donne un aperçu du niveau de sécurité actuel de votre organisation. Lorsque ce niveau de sécurité baisse, les pirates potentiels sont plus exposés à la surface d'attaque. 

Health Status Improvement

Amélioration de l'état de santé

Qu'est-ce qui déclenche cet événement?

L’amélioration de l’état de santé (Health Status) de votre organisation.

La fonctionnalité Health Status (Statut d'intégrité - état de santé) vous donne un aperçu du niveau de sécurité actuel de votre organisation. Vous voudrez peut-être être averti lorsque ce niveau de sécurité redevient normal. 

License Assigned

Licence attribuée

Qu'est-ce qui déclenche cet événement?

L'attribution d'une licence supplémentaire à un compte existant.

Selon le «principe du moindre privilège», les utilisateurs ne devraient pas avoir accès aux services dont ils n'ont pas besoin. Cela vous aide également à contrôler les coûts. 

License Removed

Licence supprimée

Qu'est-ce qui déclenche cet événement?

La suppression d'une licence de tout compte existant.

La suppression des licences des utilisateurs est un bon moyen pour les pirates de les désactiver. 

Mailbox Access by Non-Owner

Accès aux boîtes par un non-propriétaire

Qu'est-ce qui déclenche cet événement?

Quelqu'un d'autre que le propriétaire accédant à une boîte aux lettres.

L'escalade de privilèges est une cible importante pour les pirates. Il permet d'accéder à plusieurs comptes sans avoir à les pirater individuellement. Cet événement est un signe qu'un pirate informatique explore vos données. Cela peut également indiquer que des acteurs internes se comportent mal et abusent de leur accès. 

Mailbox Access Granted to Non-Owner

Accès aux boîtes aux lettres accordé à des non-propriétaires

Qu'est-ce qui déclenche cet événement?

L'octroi d'un accès permanent à une personne qui n'est pas le propriétaire de la boîte aux lettres.

L'escalade de privilèges est une cible importante pour les pirates. Il permet d'accéder à plusieurs comptes sans avoir à les pirater individuellement. Cet événement est un signe qu'un pirate informatique explore vos données. Cela peut également indiquer que des acteurs internes se comportent mal et abusent de leur accès. 

New Account Created

Nouveau compte créé

Qu'est-ce qui déclenche cet événement?

La création d'un nouveau compte dans Microsoft 365.

Vous serez averti de toute création de compte non initiée par vous-même. Du point de vue de la sécurité : la création d'un nouveau compte est une action très courante pour les pirates informatiques qui accèdent à une organisation. Du point de vue de la surveillance interne, vous pouvez réduire les coûts et augmenter la conformité en limitant la création de compte non autorisée. 

New Sharepoint Site Created

Nouveau site SharePoint créé

Qu'est-ce qui déclenche cet événement?

La création d'une nouvelle collection de sites.

Les sites SharePoint peuvent être utilisés pour l'extraction de données et peuvent entraîner leur prolifération. Ils peuvent également générer des coûts. 

Microsoft 365 Setting Modified Outside Office Protect

Configuration de Microsoft 365 modifiée en dehors de Office Protect

Qu'est-ce qui déclenche cet événement?

Toute modification des paramètres déjà appliqués par Office Protect dans Microsoft 365.

Toute modification effectuée directement dans Microsoft 365 qui ne reflète pas la stratégie que vous avez choisie dans Office Protect est signalée. Ils identifieront souvent les utilisateurs qui ne respectent pas les meilleures pratiques de sécurité. Les modifications appliquées depuis Office Protect ne déclencheront pas cette alerte. 

Sharepoint Site Deleted

Site SharePoint supprimé

Qu'est-ce qui déclenche cet événement?

La suppression d'une collection de sites.

Les hackers vandales peuvent faire beaucoup de dégâts en supprimant des sites SharePoint. 

Sign-In From Unauthorized Country

Connexion depuis un pays non autorisé

Qu'est-ce qui déclenche cet événement?

Tout utilisateur connecté d'un pays non autorisé.

Toute connexion provenant de pays inhabituels doit faire l’objet d’une enquête en tant que violation éventuelle. Si aucune explication commerciale n’est fournie, envisagez de suspendre le compte jusqu’à ce que la question soit clarifiée. 

Too Many Logins

Trop de connexions

Qu'est-ce qui déclenche cet événement?

Tout accès à un compte à une fréquence supérieure au seuil spécifié. 

Le fait d'avoir de nombreuses connexions réussies pour un seul compte dans un court laps de temps indique généralement que les informations d'identification du compte ont été publiées. Veuillez noter que l'accès à différents services (courrier électronique, SharePoint, etc.) comptera pour plusieurs connexions. 

User Accessed with Previously Unknown Device and IP

Utilisateur avec un périphérique et une adresse IP précédemment inconnus

Qu'est-ce qui déclenche cet événement?

Tout compte Microsoft 365 accédant à partir d'un nouveau périphérique ou d'une nouvelle adresse IP. 

Nous combinons l'adresse IP et l'agent utilisateur pour déterminer si un utilisateur est «connu» du système. Tandis que les personnes se déplacent, les adresses IP changent, et parfois elles changent d'appareil et de logiciel, entraînant le changement de l'agent utilisateur ; les deux se produisent en même temps est moins commun. Exemple bénin : Vous connectez à partir d'un ordinateur public lors d'un voyage.

 

Si vous avez des questions, svp consultez nos FAQs, ou contactez-nous.