Connecter des données Azure Active Directory (Azure AD) à Microsoft Sentinel

Important

Comme indiqué ci-dessous, certains des types de journaux disponibles sont actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Notes

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Vous pouvez utiliser le connecteur intégré de Microsoft Sentinel pour collecter des données à partir d’Azure Active Directory et de les diffuser en continu vers Microsoft Sentinel. Le connecteur vous permet de diffuser les types de journaux suivants :

  • Les journaux de connexion, qui contiennent des informations sur les connexions utilisateur interactives où un utilisateur fournit un facteur d’authentification.

    Le connecteur Azure AD inclut maintenant les trois catégories supplémentaires de journaux de connexion, qui se trouvent toutes en PRÉVERSION :

  • Les journaux d’audit, qui contiennent des informations sur l’activité système relative à la gestion des utilisateurs et des groupes, aux applications gérées et aux activités de l’annuaire.

  • Les journaux de provisionnement (également en PRÉVERSION), qui contiennent des informations sur l’activité du système sur les utilisateurs, les groupes et les rôles provisionnés par le service de provisionnement Azure AD.

Prérequis

  • Une licence Azure Active Directory P1 ou P2 est nécessaire pour ingérer les journaux de connexion dans Microsoft Sentinel. Toute licence Azure AD (Gratuit/O365/P1/P2) est suffisante pour ingérer les autres types de journaux. Des frais supplémentaires par gigaoctet peuvent s’appliquer pour Azure Monitor (Log Analytics) et Microsoft Sentinel.

  • Le rôle Contributeur Microsoft Sentinel doit être attribué à votre utilisateur sur l’espace de travail.

  • Les rôles Administrateur général ou Administrateur de sécurité doivent être attribués à votre utilisateur sur le locataire à partir duquel vous souhaitez diffuser les journaux.

  • Votre utilisateur doit disposer d’autorisations en lecture et en écriture sur les paramètres de diagnostic Azure AD pour pouvoir voir l’état de la connexion.

Connexion à Azure Active Directory

  1. Dans Microsoft Sentinel, sélectionnez Connecteurs de données dans le menu de navigation.

  2. Dans la galerie des connecteurs de données, sélectionnez Azure Active Directory, puis sélectionnez Ouvrir la page du connecteur.

  3. Activez les cases à cocher associées aux types de journaux que vous souhaitez diffuser dans Microsoft Sentinel (voir ci-dessus), puis sélectionnez Se connecter.

Recherche de données

Une fois la connexion établie, les données s’affichent dans Journaux, sous la section LogManagement, dans les tables suivantes :

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs

Pour interroger les journaux Azure AD, entrez le nom de table approprié en haut de la fenêtre de requête.

Étapes suivantes

Dans ce document, vous avez appris à connecter Azure Active Directory à Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :