Partage via

Connecter les données Microsoft Entra à Microsoft Sentinel

  • Article

Vous pouvez utiliser le connecteur intégré de Microsoft Sentinel pour collecter des données à partir de Microsoft Entra ID et de les diffuser en continu vers Microsoft Sentinel. Le connecteur vous permet de diffuser les types de journaux suivants :

  • Les journaux de connexion, qui contiennent des informations sur les connexions utilisateur interactives où un utilisateur fournit un facteur d’authentification.

    Le connecteur Microsoft Entra inclut maintenant les trois catégories supplémentaires de journaux de connexion, qui se trouvent toutes en PRÉVERSION :

  • Les journaux d’audit, qui contiennent des informations sur l’activité système relative à la gestion des utilisateurs et des groupes, aux applications gérées et aux activités de l’annuaire.

  • Les journaux de provisionnement (également en PRÉVERSION), qui contiennent des informations sur l’activité du système sur les utilisateurs, les groupes et les rôles provisionnés par le service de provisionnement Microsoft Entra.

  • Les journaux d’activité Microsoft Graph, qui contiennent des informations sur les requêtes HTTP accédant aux ressources de votre locataire via l’API Microsoft Graph.

Important

Certains des types de journaux disponibles sont actuellement en PRÉVERSION. Pour connaître d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure.

Remarque

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Prérequis

  • Une licence Microsoft Entra ID P1 ou P2 est nécessaire pour ingérer des journaux de connexion dans Microsoft Sentinel. Toute licence Microsoft Entra ID (gratuite/O365/P1 ou P2) suffit pour ingérer les autres types de journaux. D’autres frais par gigaoctet peuvent s’appliquer pour Azure Monitor (Log Analytics) et Microsoft Sentinel.

  • Le rôle Contributeur Microsoft Sentinel doit être attribué à votre utilisateur sur l’espace de travail.

  • Votre utilisateur doit avoir le rôle Administrateur de la sécurité sur le tenant à partir duquel vous souhaitez diffuser en continu les journaux, ou les autorisations équivalentes.

  • Votre utilisateur doit disposer d’autorisations en lecture et en écriture sur les paramètres de diagnostic Microsoft Entra pour pouvoir voir l’état de la connexion.

  • Installez la solution pour Microsoft Entra ID depuis le hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.

Connectez-vous à Microsoft Entra ID

  1. Dans Microsoft Sentinel, sélectionnez Connecteurs de données dans le menu de navigation.

  2. Dans la galerie des connecteurs de données, sélectionnez Microsoft Entra ID, puis sélectionnez Ouvrir la page du connecteur.

  3. Cochez les cases en regard des types de journaux que vous souhaitez diffuser en continu dans Microsoft Sentinel, puis sélectionnez Connecter.

Recherche de données

Une fois la connexion établie, les données s’affichent dans Journaux, sous la section LogManagement, dans les tables suivantes :

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs
  • MSGraphActivityLogs

Pour interroger les journaux Microsoft Entra, entrez le nom de table approprié en haut de la fenêtre de requête.

Étapes suivantes

Dans ce document, vous avez appris à connecter Microsoft Entra ID à Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :