Comment activer la journalisation d'audit de boîte aux lettres et examiner les journaux d'audit dans Office 365
Netwrix Auditor for Exchange
- Exécutez Netwrix Auditor → Accédez à « Recherche » → Définissez les filtres suivants :
- Source de données Équivaut à Exchange Online
- Quand Équivaut Aujourd'hui
- Cliquez sur Search. Par défaut, les résultats sont triés pour afficher les événements les plus récents en premier.
En savoir plus sur Netwrix Auditor for Exchange
Solution native
Activez l'audit
Vous devez être un administrateur Office 365 pour activer l'audit.
- Ouvrez le Security & Compliance Center.
- Cliquez Recherche & Investigation -> Cliquez Recherche dans les journaux d'audit -> Cliquez Commencez l'enregistrement de l'activité des utilisateurs et des administrateurs.
Notez que vous devrez attendre jusqu'à 24 heures pour obtenir les données d'audit.
Activez l'audit de boîte aux lettres
L'audit des boîtes aux lettres est inclus dans le journal d'audit, mais vous devez l'activer séparément.
- Pour activer l'audit pour une seule boîte aux lettres, utilisez cette cmdlet PowerShell :
Set-Mailbox -Identity "UserName" -AuditEnabled $true
- Pour activer l'audit pour toutes les boîtes aux lettres Office 365 de votre organisation, exécutez les commandes PowerShell suivantes :
$UserMailboxes= Get-mailbox-Filter {(RecipientTypeDetails-eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled$true}
Pour plus d'informations sur l'audit des boîtes aux lettres, consultez le Exchange Online Mailbox Auditing Quick Reference Guide.
Examinez le journal d'audit
Notez que vous pouvez obtenir l'audit de boîte aux lettres uniquement pour les événements qui se sont produits après que vous avez activé l'audit dans Office 365.
- Ouvrez le Security & Compliance Center.
- Cliquez Search & Investigation -> Cliquez recherche de journal d'audit.
- Filtrez les activités en utilisant le bouton Activity sur le volet gauche, cliquez sur Search.
- Cliquez sur l'activité que vous souhaitez examiner, par exemple, les permissions modifiées du dossier :
- Consultez les détails de l'activité dans le panneau de droite :
Audit de boîte aux lettres Office 365 - La manière facile
La migration de vos applications d'entreprise, telles que Exchange Server, vers le cloud peut réduire les coûts de maintenance, améliorer la disponibilité et offrir des économies de coûts. Cependant, parce que les e-mails contiennent souvent des informations sensibles ou cruciales pour l'entreprise, vous devez vous assurer que vous pouvez auditer efficacement votre environnement cloud pour enquêter sur les incidents et réussir les audits de conformité. La suite d'outils d'audit native d'Office 365 fournit à votre organisation certaines des fonctionnalités dont vous avez besoin, y compris la journalisation d'audit de boîte aux lettres et un dossier d'éléments récupérables qui pourrait vous être familier des versions précédentes des applications Microsoft, ainsi que les capacités de gouvernance des données et eDiscovery de pointe disponibles dans le Centre de sécurité et conformité.
Avant janvier 2019, pour surveiller les événements d'accès aux boîtes aux lettres par des non-propriétaires, les paramètres de permissions et d'autres changements critiques dans Office 365, vous deviez activer manuellement l'audit des boîtes aux lettres via PowerShell. Maintenant, l'audit de boîte aux lettres suivant est activé par défaut : les actions d'accès aux boîtes aux lettres des utilisateurs sont auditées pour chaque type de connexion (actions Admin, Délégué et Propriétaire de la boîte aux lettres). Bien que ce changement contribue aux objectifs de sécurité et de confidentialité, les outils natifs présentent toujours d'autres inconvénients. En particulier, le journal d'audit est conservé uniquement pendant 90 jours ; ce temps de rétention limité signifie que les organisations ne peuvent pas enquêter de manière approfondie sur les incidents ou se conformer à des réglementations critiques telles que HIPAA, SOX et FISMA, et transfère le fardeau de l'archivage sur les épaules des administrateurs IT. De plus, Office 365 stocke toutes les entrées de journal dans le Unified Audit Log ; avoir tous les événements enregistrés dans un seul journal d'audit peut sembler pratique, mais sans outils de parsing et de filtrage appropriés, cela rend juste difficile la recherche et l'analyse des événements en raison des spécificités différentes de chaque source d'événement et type d'événement.
Netwrix Auditor for Exchange soulage la pression sur les administrateurs informatiques, leur permettant de passer en revue rapidement tous les événements d'audit des boîtes aux lettres sans avoir à rechercher et exporter les enregistrements de journaux d'audit spécifiques aux boîtes aux lettres, analyser les données avec PowerShell et sauvegarder manuellement les données. L'application est fournie avec un large ensemble de rapports et d'alertes prédéfinis qui permettent aux administrateurs de garder un œil sur tous les événements de Exchange Server et Exchange Online — tout est à portée de main dans une interface unique.
Partager sur