Quand vient le temps de répondre à une alerte, nous vous recommandons souvent d'enquêter sur les activités suspectes en consultant les journaux d'audit d'utilisateur. Il existe deux journaux d'audit clés que vous pouvez consulter pour mener votre enquête :
- Les journaux de connexion du Centre d’administration Azure Active Directory fournissent des détails sur les connexions à un compte. Ces informations incluent l’adresse IP, l’emplacement, l’application à laquelle on s’est connecté, si la connexion a réussi, etc. Vous pouvez y avoir accès dans le Centre d’administration Azure Active Directory sous l’onglet « Journaux de connexions » avec un utilisateur administrateur général.
- Le Journal d’audit unifié contient près de toutes les activités Microsoft 365 des utilisateurs de l’organisation. En raison de l’énorme quantité de données qu’il contient, nous vous recommandons de limiter votre recherche à un ou deux applications (Sharepoint, OneDrive, Exchange, etc.) et à une période précise. Vous trouverez le Journal d’audit unifié dans le Centre de Conformité, sous l’onglet Audit.
Office Protect active les journaux d’audit à votre place lors de l’installation du produit, puisqu’ils sont essentiels pour connaître l’état de votre organisation Microsoft 365. Pour accéder au Centre de sécurité de Microsoft 365, vous devrez avoir les permissions d’administrateur général.
- Documentation Microsoft concernant les Journaux de connexion dans le Centre d’administration Azure Active Directory : https://docs.microsoft.com/fr-fr/azure/active-directory/reports-monitoring/concept-sign-ins
- Documentation Microsoft sur le journal d’audit dans le Centre de conformité : https://docs.microsoft.com/fr-fr/microsoft-365/compliance/search-the-audit-log-in-security-and-compliance?view=o365-worldwide