Journal de sécurité et audit Azure
Azure offre un large éventail d’options de journalisation et d’audit de sécurité configurables pour vous aider à identifier les failles dans vos mécanismes et stratégies de sécurité. Cet article décrit la génération, la collecte et l’analyse des journaux d’activité de sécurité des services hébergés sur Azure.
Notes
Certaines recommandations contenues dans cet article risquent d’entraîner une augmentation de l’utilisation des données, des réseaux ou des ressources de calcul, et donc une augmentation des coûts de licence ou d’abonnement.
Types de journaux d’activité dans Azure
Les applications cloud sont complexes, et se composent de nombreux éléments mobiles. L’enregistrement des données peuvent fournir des Insights sur vos applications et vous aider à :
- détecter des problèmes antérieurs et éviter des problèmes futurs
- améliorer les performances et la maintenabilité des applications
- automatiser des actions qui nécessitent autrement une intervention manuelle
Les journaux d’activité Azure sont classés par type :
Les journaux d’activité de contrôle/gestion fournissent des informations sur les opérations CREATE, UPDATE, and DELETE Azure Resource Manager. Pour plus d’informations, consultez Journaux d’activité des activités Azure.
Les journaux de plan de données fournissent des informations sur les événements déclenchés lors de l’utilisation des ressources Azure. Il s’agit par exemple des journaux d’activité du système d’événements, de la sécurité et des applications Windows dans une machine virtuelle, et des journaux de diagnostic qui sont configurés via Azure Monitor.
Les événements traités fournissent des informations sur les événements/alertes analysés en votre nom. Les alertes de Microsoft Defender pour le cloud en sont un exemple, où Microsoft Defender pour le cloud a traité et analysé votre abonnement et fournit des alertes de sécurité très concises.
Le tableau suivant liste les principaux types de journaux d’activité disponibles dans Azure :
| Catégorie de journal | Type de journal | Usage | Intégration |
|---|---|---|---|
| Journaux d’activité | Événements de plan de contrôle sur les ressources d’Azure Resource Manager | Fournissent des informations sur les opérations qui ont été effectuées sur les ressources de votre abonnement. | API REST, Azure Monitor |
| Journaux de ressources Azure | Données fréquentes sur les opérations des ressources Azure Resource Manager de l’abonnement | Fournissent des insights sur les opérations que votre ressource réalise elle-même. | Azure Monitor |
| Rapports Microsoft Entra ID | Journaux d’activité et rapports | Signalent les activités de connexion des utilisateurs et fournissent des informations sur l’activité système relative à la gestion des utilisateurs et des groupes. | Microsoft Graph |
| Machines virtuelles et services cloud | Service du journal des événements Windows et Syslog Linux | Capture les données système et les données de journalisation sur les machines virtuelles, puis les transfère vers un compte de stockage de votre choix. | Windows (avec stockage Diagnostics Azure) et Linux dans Azure Monitor |
| Azure Storage Analytics | Journalisation du stockage, fournit les données de métriques d’un compte de stockage | Fournit des informations sur les demandes de trace, analyse les tendances d’utilisation et diagnostique les problèmes de votre compte de stockage. | API REST ou bibliothèque cliente |
| Journaux de flux du groupe de sécurité réseau (NSG) | Format JSON, affiche les flux entrants et sortants, par règle | Affiche des informations sur le trafic IP entrant et sortant via un groupe de sécurité réseau. | Azure Network Watcher |
| Application Insights | Journaux d’activité, exceptions et diagnostics personnalisés | Fournit un service de monitoring des performances de l’application (APM) aux développeurs web sur de nombreuses plateformes. | API REST, Power BI |
| Traitement des données/alertes de sécurité | Alertes de Microsoft Defender pour le cloud, alertes des journaux d’activité Azure Monitor | Fournit des alertes et des informations sur la sécurité. | API REST, JSON |
Intégration des journaux avec les systèmes SIEM locaux
Intégration des alertes de Defender pour le cloud explique comment synchroniser les alertes de Defender pour le cloud, les événements de sécurité des machines virtuelles collectés par les journaux de diagnostic Azure et les journaux d’audit Azure avec votre solution SIEM ou vos journaux d’activité Azure Monitor.
Étapes suivantes
Audit et journalisation : protégez les données en conservant le niveau de visibilité et en répondant rapidement aux alertes de sécurité reçues.
Configurer les paramètres d’audit pour une collection de sites : si vous administrez une collection de sites, récupérez l’historique des actions de chaque utilisateur et l’historique des actions réalisées pendant une période donnée.
Recherchez le journal d’audit dans le portail Microsoft Defender : utilisez le portail Microsoft Defender pour rechercher dans le journal d’audit unifié et afficher l’activité utilisateur et administrateur dans votre organisation.