Microsoft déployement automatique – Default Office 365 DLP policy

Hier j’ai un collègue qui m’a remonté un problème très intéressant :

Sur son Tenant Office 365 une règle par defaut DLP a été activé (celle des cartes de crédit qui bloque avec notification les mails qui contiennent plus de 10 occurrences de ce qui est détecté par le tenant comme étant des codes de CB)

Le problème c’est que ce n’était pas lui qui a créé cette règle, et les équipes technique dissent que ce ne sont pas eux.

Donc il m’a demandé comment avoir l’information de qui a créé cette règle ?

Ma réponse :

Tu peux avoir l’information a deux endroit :

  • En powershell
Get-DlpCompliancePolicy | select-object createdBy
  • Dans l’audit log du portail “Security & Compliance”

Le problème c’est que le champs pour cette règle était vide :

Et qu’il n’y avait rien dans les audits log

Nous avons donc contacté Microsoft pour avoir l’information et la réponse est très intéressante :

Sur la question de la provenance de la DLP “Default Office 365 DLP policy” c’est bien MS qui a poussé cette policy à la fin du mois d’Octobre voici la réponse de l’ingénieur support :

“La stratégie DLP “Default Office 365 DLP policy” a été déployée par Microsoft. Certains détails relatifs aux notifications ne se sont pas exactement déroulés comme prévu, mais nous faisons de notre mieux pour ne pas avoir de tels inconvénients à l’avenir.

Veuillez noter que nous avons généralement déployé la politique DLP O365 par défaut afin de recueillir des commentaires et de mieux répondre à vos besoins de conformité. Sur la base des détails que nous avons recueillis jusqu’à présent et des commentaires que nous recevrons, nous prenons en considération si cette stratégie sera retirée ou non d’un certain nombre de tenants. En ce moment-là, la stratégie est en cours d’être supprimée dans les tenants localises en EMEA”

En gros, Microsoft a lancé (sans prévenir à priori, j’ai encore vérifié le message center et je n’y ai rien trouvé là-dessus, l’ingénieur a avoué aussi au téléphone qu’il n’y a pas eu de com’) cette DLP sur les tenant EMEA et progressivement ce qui explique pourquoi certains clients sont touchés et pas d’autres.

De plus comme c’est Microsoft qui a passé la commande, cela explique pourquoi nous n’avons rien trouvé dans les audits log.

Après reflexion nous aurions pu passer la commande :

Search-AdminAuditLog

Et là effectivement nous aurions vu la commande avec les comptes utilisaient et tous les détails.