S'applique À : ThreatSync+ SaaS
Pour détecter les menaces liées à l'activité des utilisateurs Microsoft 365, ThreatSync+ SaaS nécessite les données du journal d'activité des utilisateurs de Microsoft 365. Pour collecter ces données, surveiller l'activité des utilisateurs et exécuter des actions de résolution, vous devez ajouter et configurer une intégration SaaS dans WatchGuard Cloud.
Avant de Commencer
Avant de pouvoir créer une intégration SaaS avec Microsoft 365, vous devez :
- Posséder au minimum une licence Microsoft Office 365 E1 ou une licence Microsoft 365 Business Basic
- Activer la journalisation d'audit de votre organisation Microsoft 365
- Vérifier les rôles et les permissions de Microsoft 365
Activer la Journalisation d'Audit
Avant que ThreatSync+ SaaS puisse se connecter aux données via une intégration SaaS, vous devez activer la journalisation d'audit de votre organisation Microsoft 365.
La journalisation d'audit est activée par défaut pour les organisations Microsoft 365. Pour vérifier que la journalisation d'audit est activée, exécutez la commande PowerShell suivante sur l'ordinateur où vous ajoutez l'intégration SaaS :
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
Si la journalisation d'audit n'est pas activée, l'état est False :
UnifiedAuditLogIngestionEnabled : Faux
Si l'état est True, aucune autre action n'est requise. Si l'état est False, exécutez la commande PowerShell suivante pour activer la journalisation d'audit :
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
La modification de la configuration de la journalisation d'audit peut durer jusqu'à 60 minutes.
Pour de plus amples informations, consultez la section Activer ou Désactiver l'Audit de la documentation Microsoft.
Vérifier les Rôles et les Permissions
L'administrateur qui ajoute la configuration SaaS doit avoir activé les permissions et les rôles d'administrateur suivants dans son compte Microsoft 365 :
- Administrateur Global
- Administrateur de la sécurité
- Administrateur d'Assistance de Service
- Administrateur d'Utilisateurs
Vous pouvez sélectionner un administrateur existant ou créer un nouvel administrateur avec les permissions adéquates. Pour de plus amples informations, consultez la section Attribuer des Rôles d'Administrateur dans le Centre d'Administration de Microsoft de la documentation Microsoft.
Les rôles et les permissions de l'administrateur sont uniquement nécessaires lors de la configuration initiale de l'intégration SaaS. Suite à l'ajout de l'intégration SaaS, les permissions d'administrateur ne sont plus nécessaires.
Créer une Intégration SaaS
Pour créer une intégration SaaS, vous devez disposer du nom de domaine principal de Microsoft 365 et du compte d'utilisateur administrateur que vous souhaitez utiliser pour votre intégration SaaS.
Le nom de domaine principal est le domaine du locataire Microsoft 365 que vous souhaitez surveiller en matière de menaces. Par exemple, exemple.com. Pour de plus amples informations, consultez la page Rechercher votre Nom de Domaine Office 365 Principal.
Pour créer une intégration SaaS, depuis WatchGuard Cloud :
- Sélectionnez Configurer > Integrations ThreatSync+ > Integration SaaS.
La page Intégrations SaaS s'ouvre. - Cliquez sur Ajouter une Intégration SaaS.
- Dans la liste déroulante Service SaaS, sélectionnez Microsoft 365.
- Dans la zone de texte Nom de Domaine Microsoft 365, saisissez le nom du domaine principal du locataire Microsoft que vous souhaitez surveiller.
- Pour activer la possibilité de désactiver ou d'activer les utilisateurs Microsoft 365, sélectionnez Activer la Résolution.
Si vous activez ou désactivez la résolution pour une intégration SaaS existante avec Microsoft 365, vous devez réactiver l'intégration SaaS et répéter les Étapes 6 à 8. Pour de plus amples informations, accédez à Modifier une Intégration SaaS.
- Cliquez sur Activer.
Vous êtes redirigé vers la page de connexion Microsoft afin de vous authentifier.
- Connectez-vous en tant qu'administrateur disposant des permissions nécessaires.
Après vous être connecté à Microsoft, Microsoft vous redirige vers une page de consentement.
- Examinez les détails du consentement et cliquez sur Accepter pour accepter. Le consentement est nécessaire à l'installation de l'intégration SaaS.
Après avoir accepté le consentement, vous êtes redirigé vers l'UI de ThreatSync+ SaaS. L'état de l'intégration SaaS est Initialisation en cours. Il peut s'écouler jusqu'à 30 minutes avant que l'état ne passe à Actif.
- Lorsque l'état devient Actif, la configuration de l'intégration SaaS est terminée. Pour afficher les graphiques État de la Collecte Microsoft 365 et Nombre de Journaux, cliquez sur le nom de l'intégration dans la colonne Nom.
Jusqu'à sept jours sont parfois nécessaires à ThreatSync+ SaaS pour apprendre à connaître votre environnement et commencer à afficher des alertes dans le menu Surveiller.
Modifier une Intégration SaaS
Vous pouvez modifier une intégration SaaS active existante pour modifier le nom, désactiver les notifications de dysfonctionnement répétées ou activer ou désactiver la résolution pour les utilisateurs de Microsoft 365.
Pour modifier une Intégration SaaS :
- Sélectionnez Configurer > Integrations ThreatSync+ > Integration SaaS.
La page Intégrations SaaS s'ouvre. - Cliquez sur le nom de l'intégration SaaS que vous souhaitez modifier.
La page Modifier l'Intégration SaaS s'ouvre. - (Facultatif) Dans la zone de texte Description, modifiez le nom de l'intégration SaaS.
- Sélectionnez la case à cocher Désactiver les Notifications de Dysfonctionnement Répétées si vous souhaitez qu'une seule notification soit envoyée pour ce collecteur SaaS lorsqu'un dysfonctionnement du collecteur SaaS se produit.
- Pour activer la possibilité de désactiver ou d'activer les utilisateurs Microsoft 365, sélectionnez Activer la Résolution.
Si vous activez ou désactivez la résolution pour une intégration SaaS avec Microsoft 365 existante, vous devez réactiver l'intégration et donner à nouveau votre consentement pour l'intégration.
- Cliquez sur Enregistrer.