Centre de sécurité et conformité Office 365 : Alertes d’activité

Centre de sécurité et conformité Office 365 : Alertes d’activité

Avez-vous plus de cinq administrateurs globaux ou de services dans votre tenant ? Savez-vous quels changements sont effectués quotidiennement dans votre tenant à travers vos services ? Avoir trop d’administrateurs peut créer le chaos entre les services si la communication fait défaut. En tant qu’administrateur global d’Office 365, ne devriez-vous pas savoir quelles modifications sont effectuées ? En définitive, la recherche dans les journaux d’audit n’est pas une façon idéale de passer son temps, pas quand vous pouvez automatiser les alertes dans Office 365 à la place.

Saisissez les alertes d’activité. En effet, la création d’alertes d’activité est un excellent moyen de vous informer des changements effectués dans votre tenant. Ainsi, elles peuvent vous alerter sur les services ou les utilisateurs de votre tenant en fonction de certains critères d’attributs dans le journal d’audit. Vous pouvez consulter la liste complète ici.

Les comptes d’administrateur global peuvent être compromis. Si l’audit n’est pas activé, il sera difficile de déterminer ce qui a été modifié, le cas échéant, dans votre tenant. Voici un article montrant des comptes d’administrateur global compromis à vendre sur le dark web.

Comment configurer les alertes d’activité

Tout d’abord, vous devez activer l’audit, puis créer un test d’alerte d’activité.

Assurez-vous que l’audit est activé dans votre tenant

Connectez-vous au portail d’administration et allez dans Sécurité et conformité. Cliquez sur Recherche et investigation, puis sur Recherche dans le journal d’audit.

Si l’audit n’est pas encore activé pour votre tenant, nous allons l’activer maintenant. Tout d’abord, cliquez sur Start Recording user and admin activities. Une boîte de dialogue apparaît. Cliquez sur Turn On. Un message s’affiche indiquant que le journal d’audit est en cours de préparation et que vous pourrez lancer une recherche dans quelques heures.

Activity Alerts in Office 365 Screenshot

Si vous souhaitez activer via PowerShell, vous pouvez le faire avec la commande suivante.

Connectez-vous à Exchange Online Protection et au module PowerShell du Security & Compliance Center. Enfin, exécutez ce qui suit :

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Création d’alertes d’activité

Nous allons examiner un exemple de création de règles de transport par les administrateurs globaux. Ceci est très utile si les administrateurs globaux à travers le monde font des changements dont vous n’êtes pas au courant. Un compte Admin compromis pourrait créer une nouvelle règle de transport à votre insu. Il pourrait ensuite envoyer votre courrier électronique à des adresses électroniques externes. Les règles de transport ne sont pas quelque chose que vous créez et modifiez tous les jours. Pourtant, elles pourraient valoir la peine d’être signalées si vous disposez d’un grand environnement complexe avec des centaines de règles en place.

Commandes

Pour une liste des jeux de paramètres d’alerte d’activité, vous pouvez consulter l’article suivant ici. Prenez note dans l’article de la section pour « -recordtype ». Cela vous aidera à étiqueter les alertes. En outre, si vous ne spécifiez pas le paramètre « -userid », l’alerte s’appliquera à tous les utilisateurs de votre tenant.

Les éléments de base dont nous avons besoin sont les suivants :

New-ActivityAlert

  • Name (le nom de votre alerte)
  • Operation (la commande exécutée)
  • Notifyuser (l’adresse email pour envoyer l’alerte)
  • UserId (le destinataire de l’alerte, c’est-à-dire les comptes administrateurs globaux dans notre exemple.)
  • Description (évident ici)

Par exemple, nous allons tester les règles de transport. J’aimerais que vous créiez une règle de transport de base dans votre portail d’administration Exchange à des fins de test. Si vous n’êtes pas familier avec la création d’une règle de transport, vous pouvez l’apprendre ici. Une fois que la règle de transport est en place, vous pouvez retourner au Centre de sécurité et de conformité. Ensuite, allez à Recherche et Investigation et Recherche dans le journal d’audit. Dans la section Utilisateurs, saisissez le nom de votre compte administrateur, réglez la date sur aujourd’hui, puis cliquez sur Rechercher.

Les résultats s’affichent dans la section Activité. L’entrée « New-TransportRule » dans le journal d’audit.

Activity Alerts Screenshot of New-TransportRule

Nous pouvons créer une alerte d’activité pour toute commande exécutable dans Office 365 et l’enregister dans le journal d’audit. C’est un excellent moyen de créer de nouvelles alertes d’activité pour les changements de paramètres dans votre locataire.

Gestion des alertes d’activité via le portail

Connectez-vous au portail d’administration d’Office 365 et accédez au Centre de sécurité et de conformité. Développez Alertes et sélectionnez Politiques d’alerte. La section Gérer les alertes d’activité ne figure pas dans la liste au début. Pour accéder au portail de gestion, vous devez d’abord créer une alerte d’activité via PowerShell. Une fois que vous aurez créé une alerte d’activité, vous serez en mesure de voir la zone de gestion dans le portail.

Activity Alerts Alert Policies Screenshot

Une fois que vous aurez créé une alerte d’activité, vous serez en mesure de voir la zone de gestion dans le portail.

Activitiy Alerts 'Alert Policies' Screenshot

Création d’une alerte d’activité de règle de transport

Créons une nouvelle alerte pour chaque fois que quelqu’un crée, modifie ou supprime une règle de transport.

Connectez-vous au module PowerShell du Centre de protection et de sécurité et de conformité d’Exchange Online. Exécutez ce qui suit. Mettez à jour les paramètres si nécessaire.

New-ActivityAlert -Name "Transport Rules Monitoring Alerts" -Operation new-transportrule,set-transportrule,remove-transportrule -Description "Creation, Modification and Deletion of Transport Rules" -NotifyUser "user@domain.com" -RecordType ExchangeAdmin -Severity High -Type Custom
Activity Alerts Screenshot of Code

Après cela, revenez aux politiques d’alertes. Cliquez sur les alertes d’activité en haut de l’écran.

Activity Alerts Screenshot of Alert Policies

Vous accédez alors à la page de gestion des alertes d’activité.

Activity Alerts Screenshot of New Alert Policy

En regardant l’alerte dans le portail, vous verrez que vous ne pouvez pas voir les activités car il s’agit d’un ensemble de règles personnalisées. Exécutez la commande get-activityalert dans votre session PowerShell. Cela affichera les propriétés réelles de la règle personnalisée. Vous pouvez trouver les détails ici sur les commandes get-activityalert.

Centre de sécurité

Maintenant que l’alerte d’activité est en place, allez-y et créez une autre règle de transport de test. Vous recevrez une notification par courriel au sujet de la nouvelle règle que vous avez créée. L’e-mail de notification ressemblera à celui ci-dessous.

Centre de sécurité

Paramètres d’alerte via le portail

Il existe des centaines d’alertes déjà disponibles pour vous permettre de commencer. Tout d’abord, retournons à la page Alerte d’activité et sélectionnons Nouvelle politique d’alerte. Ensuite, sélectionnez le menu déroulant pour Envoyer cette alerte quand. Dans Activités, vous pouvez sélectionner le menu déroulant pour Choisir les activités pour l’alerte. Enfin, regardez les nombreux éléments pour lesquels vous pouvez créer des alertes d’activité. Vous trouverez une liste complète et détaillée de tous les éléments disponibles ici. Vous pouvez lire tous les détails dans la section Activités vérifiées.

Centre de sécurité

Résumé

Comme vous pouvez le constater, le nombre d’alertes d’activité pour chaque plateforme Office 365 est un bon début. Toutefois, il existe de nombreuses options non répertoriées ici. Ainsi, vous devrez enquêter sur les journaux d’audit pour obtenir les commandes exécutées. De sorte que une fois en main, la création d’alertes d’activité vous tiendra au courant des changements dans votre tenant. Planifiés ou malveillants.

Le score sécurisé d’Office 365 de Microsoft recommande de ne pas avoir plus de cinq administrateurs globaux. Toutefois, si votre tenant doit avoir plus de cinq comptes Global Admin, assurez-vous de savoir exactement qui et ce qui a changé dans votre tenant. Aussi, apprenez à connaître les alertes d’activité et mettez en place vos propres ensembles de règles pour rester au courant des changements dans votre locataire. Travaillez également avec votre administrateur SharePoint et montrez-lui les possibilités offertes par les alertes d’activité. Enfin, facilitez leur travail en leur signalant des éléments dont ils ne sont peut-être pas conscients.

Après cela, j’espère que cette expérience a été très instructive pour vous. Si vous avez des questions ou si vous souhaitez en discuter, veuillez commenter ci-dessous. Merci !

Pouvons nous activer la recherche Microsoft dans Office 365 ?

Comment activer la recherche Microsoft dans Office 365

Quelles sont les fonctionnalités cachées de la licence Microsoft 365 E3 ?

Les fonctionnalités cachées de la licence Microsoft 365 E3

Comment configurer un domaine personnalisé dans Office 365 ?

Configurer un domaine personnalisé dans Office 365

Qu’est qu’une zone DNS ?

Qu’est qu’une zone DNS ?

Retour en haut