L’importance de conserver et de consulter les logs d’audit M365 et Azure AD
Pour des raisons de sécurité et de conformité, de nombreuses organisations sont tenues de conserver et de rendre consultables les logs d’audits des actions réalisées par leurs utilisateurs dans leurs écosystèmes M365/Azure AD.
En cas de problèmes techniques, de litiges ou d’attaques informatiques, la conservation et la lecture de ces logs permettent de comprendre les actions réalisées dans M365 et Azure AD afin de déterminer les causes d’un incident pour les traiter avec discernement.
Outil d’analyse des logs natifs à M365 et ses limites
M365 met à disposition de ses clients un outil de recherche de logs rudimentaire :
Cet outil s’avère dépassé lorsque l’on ne connait pas exactement la période et la nature exacte des faits recherchés (rétention des logs de 90 jours, impossibilité de filtrer des IPs, etc.).
Pour cette raison, forts de nos expériences en sécurisation et en réponse à incident, nous avons décidé d’offrir à nos clients l’installation et la maintenance d’une solution SaaS de stockage et d’analyse des logs M365 et Azure AD. C’est cette même solution que nous utilisons lorsque nous enquêtons pour détecter les actions malveillantes réalisées dans les environnements M365/AzureAD de nos clients.
Outils d’analyse des logs façon Oppidum
Accès limité et sécurisé :
Notre outil d’analyse des logs M365 requiert des droits en lecture seule sur les logs O365/Azure AD de votre « tenant » Azure/M365:
Ces droits nous permettent de périodiquement extraire et destocker l’ensemble des logs d’audit générés par votre écosystème M365/Azure AD.
Analyse de logs d’activités facilitée et personnalisable :
La solution SaaS d’analyse des logs que nous proposons est fournie avec les tableaux de bord que nous utilisons lors de nos missions de réponse à incidents M365/Azure AD.
Par exemple, le tableau de bord « Activities Watcher » permet de comprendre en un clin d’œil les actions réalisées par une personne au cours d’une période définie :
Chaque champ de données est filtrable : par valeur, parexclusion, par inclusion.
Ainsi il est facile de comprendre les activités réalisées par un de vos utilisateurs au cours d’une période données.
Cette capacité à circuler efficacement entre les logs nous permet de facilement comprendre l’étendu d’une attaque pour rapidement, et avec confiance, éradiquer les pirates de votre écosystème O365/Azure.
Détection des évènements rares et suspects facilité :
Lors de nos missions de réponse à incident, nous nous intéressons particulièrement aux signaux faibles. C’est-à-dire aux actions rares pouvant se produire au sein de votre environnement informatique.
C’est pour cette raison que nous avons créé le tableau de bord de « Threat Hunting » ou « Recherche des menaces » en Français !
Un fichier sharepoint a été partagé sans autorisation ?
Retrouvez la personne ayant partagé ce fichier :
Notre offre 2 en 1 : Outil SaaS d’analyse des logs O365 et audit de votre posture de sécurité
Oppidum security est spécialisée en sécurisation des environnements cloud.
Souscrire à notre plateforme gérée d’analyse des logs M365/Azure AD c’est aussi la garantie pour nos clients de profiter de notre expertise en sécurisation des environnements O365/Azure AD.
Si nos clients ont des besoins de rapports particuliers, nous pouvons leur créer des tableaux de bord et des alertes sur mesure.
Lors de la mise en place de notre solution d’analyse des logs nous offrons aussi à nos clients une journée de conseil afin de revoir avec eux l’ensemble des paramètres permettant de renforcer leur posture de sécurité O365/Azure :
- · Configuration Azure AD
- · Configuration Exchange Online
- · Configuration Exchange Online Protection
- · Configuration Intune
- · Configuration SharePoint Online
- · Configuration Teams
- · Configuration de vos projets critiques dans Azure