Journal de sécurité et audit Azure

Azure offre un large éventail d’options de journalisation et d’audit de sécurité configurables pour vous aider à identifier les failles dans vos mécanismes et stratégies de sécurité. Cet article décrit la génération, la collecte et l’analyse des journaux d’activité de sécurité des services hébergés sur Azure.

Notes

Certaines recommandations contenues dans cet article risquent d’entraîner une augmentation de l’utilisation des données, des réseaux ou des ressources de calcul, et donc une augmentation des coûts de licence ou d’abonnement.

Types de journaux d’activité dans Azure

Les applications cloud sont complexes, et se composent de nombreux éléments mobiles. L’enregistrement des données peuvent fournir des Insights sur vos applications et vous aider à :

• détecter des problèmes antérieurs et éviter des problèmes futurs
• améliorer les performances et la maintenabilité des applications
• automatiser des actions qui nécessitent autrement une intervention manuelle

Les journaux d’activité Azure sont classés par type :

• Les journaux d’activité de contrôle/gestion fournissent des informations sur les opérations CREATE, UPDATE, and DELETE Azure Resource Manager. Pour plus d’informations, consultez Journaux d’activité des activités Azure.

• Les journaux de plan de données fournissent des informations sur les événements déclenchés lors de l’utilisation des ressources Azure. Il s’agit par exemple des journaux d’activité du système d’événements, de la sécurité et des applications Windows dans une machine virtuelle, et des journaux de diagnostic qui sont configurés via Azure Monitor.

• Les événements traités fournissent des informations sur les événements/alertes analysés en votre nom. Les alertes de Microsoft Defender pour le cloud en sont un exemple, où Microsoft Defender pour le cloud a traité et analysé votre abonnement et fournit des alertes de sécurité très concises.

Le tableau suivant liste les principaux types de journaux d’activité disponibles dans Azure :

Catégorie de journal	Type de journal	Usage	Intégration
Journaux d’activité	Événements de plan de contrôle sur les ressources d’Azure Resource Manager	Fournissent des informations sur les opérations qui ont été effectuées sur les ressources de votre abonnement.	API REST, Azure Monitor
Journaux de ressources Azure	Données fréquentes sur les opérations des ressources Azure Resource Manager de l’abonnement	Fournissent des insights sur les opérations que votre ressource réalise elle-même.	Azure Monitor
Rapports Microsoft Entra ID	Journaux d’activité et rapports	Signalent les activités de connexion des utilisateurs et fournissent des informations sur l’activité système relative à la gestion des utilisateurs et des groupes.	Microsoft Graph
Machines virtuelles et services cloud	Service du journal des événements Windows et Syslog Linux	Capture les données système et les données de journalisation sur les machines virtuelles, puis les transfère vers un compte de stockage de votre choix.	Windows (avec le stockage Diagnostics Azure) et Linux dans Azure Monitor
Azure Storage Analytics	Journalisation du stockage, fournit les données de métriques d’un compte de stockage	Fournit des informations sur les demandes de trace, analyse les tendances d’utilisation et diagnostique les problèmes de votre compte de stockage.	API REST ou bibliothèque cliente
Journaux de flux du groupe de sécurité réseau (NSG)	Format JSON, affiche les flux entrants et sortants, par règle	Affiche des informations sur le trafic IP entrant et sortant via un groupe de sécurité réseau.	Azure Network Watcher
Application Insights	Journaux d’activité, exceptions et diagnostics personnalisés	Fournit un service de monitoring des performances de l’application (APM) aux développeurs web sur de nombreuses plateformes.	API REST, Power BI
Traitement des données/alertes de sécurité	Alertes de Microsoft Defender pour le cloud, alertes des journaux d’activité Azure Monitor	Fournit des alertes et des informations sur la sécurité.	API REST, JSON

Intégration des journaux avec les systèmes SIEM locaux

Intégration des alertes de Defender pour le cloud explique comment synchroniser les alertes de Defender pour le cloud, les événements de sécurité des machines virtuelles collectés par les journaux de diagnostic Azure et les journaux d’audit Azure avec votre solution SIEM ou vos journaux d’activité Azure Monitor.

Étapes suivantes

• Audit et journalisation : protégez les données en conservant le niveau de visibilité et en répondant rapidement aux alertes de sécurité reçues.

• Configurer les paramètres d’audit pour une collection de sites : si vous administrez une collection de sites, récupérez l’historique des actions de chaque utilisateur et l’historique des actions réalisées pendant une période donnée.

• Effectuer des recherches dans le journal d’audit sur le portail Microsoft Defender : utilisez le portail Microsoft Defender pour effectuer des recherches dans le journal d’audit unifié et visualiser l’activité des utilisateurs et des administrateurs dans votre organisation.