Quelles sont les options d’intégration du journal d’activité Microsoft Entra ?

À l’aide des paramètres de diagnostic dans Microsoft Entra ID, vous pouvez acheminer les journaux d’activité vers plusieurs points de terminaison pour la rétention à long terme et des insights de données. Vous pouvez archiver les journaux d’activité pour le stockage, les acheminer vers les outils SIEM (Security Information and Event Management) et les intégrer à des journaux Azure Monitor.

Avec ces intégrations, vous pouvez activer des visualisations enrichies, une supervision et des alertes sur les données connectées. Cet article décrit les utilisations recommandées pour chaque type d’intégration ou mécanisme d'accès. Les considérations relatives aux coûts pour l’envoi de journaux d’activité Microsoft Entra à différents points de terminaison sont également traitées.

Rapports pris en charge

Les journaux suivants peuvent être intégrés à l’un des nombreux points de terminaison :

• Le rapport d’activité des journaux d’audit vous permet de consulter l’historique de toutes les tâches effectuées dans votre locataire.
• Avec le rapport d’activité de connexion, vous pouvez voir quand les utilisateurs tentent de se connecter à vos applications ou résolvent les erreurs de connexion.
• Grâce aux journaux d’approvisionnement, vous pouvez surveiller quels utilisateurs ont été mis à jour et supprimés dans toutes vos applications tierces.
• Les journaux d'activité d’utilisateur à risque vous permettent de superviser les modifications relatives au niveau de risque de l’utilisateur et l’activité de correction.
• Avec les journaux d'activité de détection de risque, vous pouvez superviser les détections de risque de l’utilisateur et analyser les tendances des activités à risque détectées dans votre organisation.

Options d’intégration

Pour vous aider à choisir la bonne méthode d’intégration des journaux d’activité Microsoft Entra à des fins de stockage ou d’analyse, pensez à la tâche globale que vous essayez d’accomplir. Nous avons regroupé les options en trois catégories principales :

• Dépannage
• Stockage à long terme
• Analyse et supervision

Dépannage

Si vous effectuez des tâches de dépannage, mais que vous n’avez pas besoin de conserver les journaux plus de 30 jours, nous vous recommandons d’utiliser le portail Azure ou Microsoft Graph pour accéder aux journaux d’activité. Vous pouvez filtrer les journaux de votre scénario et les exporter ou les télécharger en fonction des besoins.

Si vous effectuez des tâches de dépannage et que vous devez conserver les journaux pendant plus de 30 jours, examinez les options de stockage à long terme.

Stockage à long terme

Si vous effectuez des tâches de dépannage et que vous devez conserver les journaux pendant plus de 30 jours, vous pouvez exporter vos journaux vers un compte de stockage Azure. Cette option est idéale si vous ne prévoyez pas d’interroger ces données souvent.

Si vous devez interroger les données que vous conservez pendant plus de 30 jours, examinez les options d’analyse et de supervision.

Analyse et supervision

Si votre scénario nécessite que vous conserviez des données pendant plus de 30 jours et que vous prévoyez d’interroger ces données régulièrement, vous disposez de plusieurs options pour intégrer vos données aux outils SIEM à des fins d’analyse et de supervision.

Si vous disposez d’un outil SIEM tiers, nous vous recommandons de configurer un espace de noms Event Hubs et un Event Hub via lesquels vous pouvez diffuser vos données en continu. Avec un Event Hub, vous pouvez diffuser des journaux vers l’un des outils SIEM pris en charge.

Si vous ne prévoyez pas d’utiliser un outil SIEM tiers, nous vous recommandons d’envoyer vos journaux d’activité Microsoft Entra aux journaux Azure Monitor. Avec cette intégration, vous pouvez interroger vos journaux d’activité avec Log Analytics. En plus des journaux Azure Monitor, Microsoft Sentinel fournit une détection de sécurité en quasi-temps réel et la chasse aux menaces. Si vous décidez d’intégrer les outils SIEM ultérieurement, vous pouvez diffuser en continu vos journaux d’activité Microsoft Entra avec vos autres données Azure par le biais d’un Event Hub.

Considérations relatives au coût

Il existe un coût pour l’envoi de données à un espace de travail Log Analytics, l’archivage des données dans un compte de stockage ou la diffusion en continu des journaux vers un Event Hub. La quantité de données et le coût engendré peuvent varier considérablement en fonction de la taille du locataire, du nombre de stratégies utilisées et même de l’heure de la journée. La modification d’un paramètre de diagnostic existant peut entraîner de nouveaux frais.

Étant donné que la taille et le coût de l’envoi des journaux à un point de terminaison sont difficiles à prédire, la façon la plus précise de déterminer vos coûts attendus consiste à acheminer vos journaux vers un point de terminaison pour un jour ou deux. Avec cette instantané, vous pouvez obtenir une prédiction précise des coûts attendus. Vous pouvez également obtenir une estimation de vos coûts en téléchargeant un échantillon de vos journaux et en multipliant en conséquence pour obtenir une estimation pour une journée.

D’autres considérations relatives à l’envoi de journaux Microsoft Entra aux journaux Azure Monitor sont traitées dans les articles suivants sur les détails des coûts Azure Monitor :

• Calculs et options des coûts des journaux Azure Monitor
• Coût et utilisation d’Azure Monitor
• Optimiser les coûts dans Azure Monitor

Azure Monitor offre la possibilité d’exclure des événements entiers, des champs ou des parties de champs lors de l’ingestion de journaux à partir de Microsoft Entra ID. En savoir plus sur cette fonctionnalité d’économie de coûts dans Transformation de la collecte de données dans Azure Monitor.

Estimer vos coûts

Pour estimer les coûts de votre organisation, vous pouvez estimer la taille quotidienne du journal ou le coût quotidien de l’intégration de vos journaux à un point de terminaison.

Les facteurs suivants peuvent avoir une incidence sur les coûts de votre organisation :

• Les événements de journal d’audit utilisent environ 2 Ko de stockage de données.
• Les événements de journal de connexion utilisent en moyenne 11,5 Ko de stockage de données.
• Un locataire d’environ 100 000 utilisateurs peut entraîner environ 1,5 million d’événements par jour.
• Les événements sont regroupés dans des intervalles d’environ 5 minutes et sont envoyés sous forme de message unique contenant tous les événements apparus au cours de cette période.

Taille quotidienne du journal

Pour estimer la taille quotidienne du journal, rassemblez un échantillon de vos journaux, ajustez l’échantillon pour refléter la taille et les paramètres de votre locataire, puis appliquez cet échantillon à la calculatrice de prix Azure.

Si vous n’avez pas encore téléchargé les journaux à partir du centre d’administration Microsoft Entra, consultez l’article Comment télécharger les journaux dans Microsoft Entra ID. En fonction de la taille de votre organisation, vous devrez peut-être choisir une taille différente de zone de test pour commencer votre estimation. Les tailles d’échantillon suivantes sont un bon point de départ :

• 1 000 enregistrements
• Pour les locataires volumineux, 15 minutes de connexions
• Pour les locataires de petite à moyenne taille, 1 heure de connexions

Vous devez également prendre en compte la distribution géographique et les heures de pointe de vos utilisateurs lorsque vous capturez votre échantillon de données. Si votre organisation est basée dans une région, il est probable que les connexions culminent au même moment. Ajustez la taille de votre échantillon et le moment de capture de l’échantillon en conséquence.

Une fois l’échantillon de données capturé, multipliez en conséquence pour déterminer la taille du fichier pour une journée.

Estimer le coût quotidien

Pour avoir une idée du coût d’une intégration de journal pour votre organisation, vous pouvez activer une intégration pendant un jour ou deux. Utilisez cette option si votre budget permet une augmentation temporaire.

Pour activer l’intégration d’un journal, suivez les étapes décrites dans l’article Intégrer les journaux d’activité aux journaux d’activité Azure Monitor. Si possible, créez un groupe de ressources pour les journaux et le point de terminaison que vous souhaitez essayer. Disposer d’un groupe de ressources dédié facilite l’affichage de l’analyse des coûts, puis sa suppression lorsque vous avez terminé.

Une fois l’intégration activée, accédez à Portail Azure>Cost Management>Analyse des coûts. Il existe plusieurs façons d’analyser les coûts. Ce Guide de démarrage rapide Cost Management vous aide à commencer. Les chiffres de la capture d'écran suivante sont utilisés à titre d'exemple et ne sont pas destinés à refléter des montants réels.

Vérifiez que vous utilisez votre nouveau groupe de ressources comme étendue. Explorez les coûts quotidiens et les prévisions pour avoir une idée du coût de votre intégration de journaux.

Calculer les coûts estimés

À partir de la page d’accueil de la Calculatrice de prix Azure, vous pouvez estimer les coûts de différents produits.

• Azure Monitor
• Azure Storage
• Azure Event Hubs
• Microsoft Sentinel

Une fois que vous avez une estimation du tarif en Go/jour qui sera envoyé à un point de terminaison, entrez cette valeur dans la Calculatrice de prix Azure. Les chiffres de la capture d'écran suivante sont utilisés à titre d'exemple et ne sont pas destinés à refléter des prix réels.