Toute connexion provenant de pays inhabituels devrait être traitée comme une brèche de sécurité informatique. Si les activités de l’entreprise n’expliquent pas la connexion, il est suggéré de suspendre le compte en question jusqu’à ce que l’affaire soit résolue.
Il est possible de spécifier les pays pour lesquels vous ne souhaitez pas recevoir d’alerte.
Remédiation
Vérifiez avec l’utilisateur qu’il s’agit d’une connexion inhabituelle. Entre-temps, les comptes peuvent être désactivés à partir du centre d’administration Microsoft 365 par mesure de sécurité.
Le portail Azure AD peut également vous permettre d’examiner les connexions suspectes. Si un compte en question a les permissions d’administrateur, vérifiez s’il y a d’autres événements Office Protect générés pour celui-ci.
Les utilisateurs qui ne font pas partie de votre domaine peuvent également générer des alertes
Office Protect surveille les connexions au portail Azure AD, les connexions à Exchange et toutes les activités reliées à SharePoint. Nous surveillons SharePoint de manière générale, car il n'est pas nécessaire de se connecter à Azure pour effectuer des activités à partir de SharePoint.
Ces activités peuvent être engendrées par l’ouverture d’un lien anonyme de la part d’un utilisateur, puisque de cette action découle la création d’un nom d’utilisateur par Microsoft. Celui-ci commencera par « urn :spo :anon# ». Si l’ouverture du lien anonyme se fait dans un pays non autorisé, Office Protect produira un événement.
Microsoft 365 vous permet également de créer des liens vers des utilisateurs spécifiques qui ne font pas partie de votre organisation. Pour ce faire, utilisez l'option "Personnes spécifiques" lorsqu'un utilisateur partage un fichier à partir de OneDrive ou SharePoint. Si le destinataire se connecte à partir d'un pays non autorisé, cela générera une connexion dans Azure AD et Office Protect vous alertera. Notez que ces identifiants n’apparaîtront pas dans le journal d'audit unifié ni dans les journaux d’audit d’Azure AD.
Les logiciels de sauvegarde tiers
Si un client utilise un logiciel de sauvegarde tiers pour SharePoint et OneDrive tels que Datto ou Acronis, ces derniers vont engendrer des données d’accès. La plupart du temps, ces données proviendront d’adresses IP américaines et de l’identifiant « app@sharepoint.com ». Habituellement, ces données d’accès affichent toutes la même adresse IP.
Afin que toutes les attaques soient répertoriées, Office Protect n’a pas de liste d’autorisation spéciale pour éviter les alertes générées par les logiciels tiers. Pour recevoir moins d’alertes d’un même genre, nous vous recommandons d’utiliser la fonction « Ignorer ».
Cette fonction mettra en sourdine les alertes concernant une combinaison spécifique d’adresse IP et d’utilisateur. Elles seront toujours visibles dans la section Report d’Office Protect en sélectionnant « Ignored events ». C’est possible que votre logiciel change d’adresse IP, mais ce type de changement ne devrait survenir qu’une fois toutes les semaines/mois.