Connecter les données Microsoft Entra à Microsoft Sentinel

  • Article

Vous pouvez utiliser le connecteur intégré de Microsoft Sentinel pour collecter des données à partir de Microsoft Entra ID et de les diffuser en continu vers Microsoft Sentinel. Le connecteur vous permet de diffuser les types de journaux suivants :

  • Les journaux de connexion, qui contiennent des informations sur les connexions utilisateur interactives où un utilisateur fournit un facteur d’authentification.

    Le connecteur Microsoft Entra inclut maintenant les trois catégories supplémentaires de journaux de connexion, qui se trouvent toutes en PRÉVERSION :

  • Les journaux d’audit, qui contiennent des informations sur l’activité système relative à la gestion des utilisateurs et des groupes, aux applications gérées et aux activités de l’annuaire.

  • Les journaux de provisionnement (également en PRÉVERSION), qui contiennent des informations sur l’activité du système sur les utilisateurs, les groupes et les rôles provisionnés par le service de provisionnement Microsoft Entra.

Important

Certains des types de journaux disponibles sont actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Notes

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Prérequis

  • Une licence Microsoft Entra ID P1 ou P2 est nécessaire pour ingérer les journaux de connexion dans Microsoft Sentinel. Toute licence Microsoft Entra ID (gratuite/O365/P1/P2) est suffisante pour ingérer les autres types de journaux. Des frais supplémentaires par gigaoctet peuvent s’appliquer pour Azure Monitor (Log Analytics) et Microsoft Sentinel.

  • Le rôle Contributeur Microsoft Sentinel doit être attribué à votre utilisateur sur l’espace de travail.

  • Les rôles Administrateur général ou Administrateur de sécurité doivent être attribués à votre utilisateur sur le locataire à partir duquel vous souhaitez diffuser les journaux.

  • Votre utilisateur doit disposer d’autorisations en lecture et en écriture sur les paramètres de diagnostic Microsoft Entra pour pouvoir voir l’état de la connexion.

  • Installez la solution pour Microsoft Entra ID depuis le hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.

Connectez-vous à Microsoft Entra ID

  1. Dans Microsoft Sentinel, sélectionnez Connecteurs de données dans le menu de navigation.

  2. Dans la galerie des connecteurs de données, sélectionnez Microsoft Entra ID, puis sélectionnez Ouvrir la page du connecteur.

  3. Activez les cases à cocher associées aux types de journaux que vous souhaitez diffuser dans Microsoft Sentinel (voir ci-dessus), puis sélectionnez Se connecter.

Recherche de données

Une fois la connexion établie, les données s’affichent dans Journaux, sous la section LogManagement, dans les tables suivantes :

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs

Pour interroger les journaux Microsoft Entra, entrez le nom de table approprié en haut de la fenêtre de requête.

Étapes suivantes

Dans ce document, vous avez appris à connecter Microsoft Entra ID à Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :