Aller au contenu
Découvrez comment nous prenons en charge MDR.

Journaux d’audit Microsoft 365

API

Restriction

Cette fonction n’est peut-être pas encore disponible pour tous les utilisateurs.

Vous pouvez ajouter les données provenant des journaux d’audit de Microsoft 365.

Conditions préalables

Vous devez être un administrateur de Microsoft 365.

L’audit doit être activé dans Microsoft 365. Si ce n’est pas le cas, vous serez invité à l’activer pendant la configuration.

Intégration

Pour ajouter des données Microsoft 365 au Data Lake, procédez de la manière suivante :

  1. Cliquez sur Intégrations tierces.
  2. Cliquez sur Journaux d’activité des utilisateurs de Microsoft 365.
  3. Sur la page Connexion Microsoft 365 - Paramètres/état des domaines, cliquez sur + Ajouter une connexion Microsoft 365.
  4. Facultatif : Si l’audit n’est pas activé, vous pouvez cliquer sur le lien de la page Activer l’audit Microsoft 365.

    Vous serez redirigé vers Microsoft 365. Vous pouvez activer l’audit, puis revenir à Sophos Central. Voir Activer ou désactiver l’audit. Microsoft peut vous demander de vous authentifier pour activer l’audit.

    Remarque

    L’affichage des données du journal d’audit de Microsoft 365 peut prendre jusqu’à 12 heures après l’activation de l’audit.

  5. Cliquez sur Suivant.

    Vous êtes redirigé vers Microsoft 365 pour authentification.

  6. Suivez les instructions de Microsoft pour accorder l’autorisation de créer une application dans Microsoft 365.

    Vous serez invité à donner au moins une autorisation, en fonction de votre environnement Microsoft 365.

    La connexion devrait prendre environ une minute.

Le nouveau domaine apparaît dans Connexion Microsoft 365 - Paramètres/état des domaines.

Dans Live Discover > Demande, une nouvelle catégorie de Données d’audit Microsoft 365 apparaît. Vous pouvez exécuter des requêtes correspondant à cette catégorie sur vos données Microsoft 365.