Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez utiliser le connecteur intégré de Microsoft Sentinel pour collecter des données à partir de Microsoft Entra ID et de les diffuser en continu vers Microsoft Sentinel. Le connecteur vous permet de diffuser les types de journaux suivants :
Les journaux de connexion, qui contiennent des informations sur les connexions utilisateur interactives où un utilisateur fournit un facteur d’authentification.
Le connecteur Microsoft Entra inclut maintenant les trois catégories supplémentaires de journaux de connexion, qui se trouvent toutes en PRÉVERSION :
Les journaux de connexions utilisateur non interactives, qui contiennent des informations sur les connexions effectuées par un client pour le compte d’un utilisateur sans interaction ou facteur d’authentification de la part de l’utilisateur.
Les journaux de connexion du principal de service, qui contiennent des informations sur les connexions des applications et des principaux de service qui n’impliquent aucun utilisateur. Dans ces connexions, l’application ou le service fournit des informations d’identification pour son propre compte afin de s’authentifier ou d’accéder à des ressources.
Les journaux de connexion avec une identité managée, qui contiennent des informations sur les connexions des ressources Azure dont les secrets sont gérés par Azure. Pour plus d’informations, consultez Que sont les identités managées pour les ressources Azure ?
Les journaux d’audit, qui contiennent des informations sur l’activité système relative à la gestion des utilisateurs et des groupes, aux applications gérées et aux activités de l’annuaire.
Les journaux de provisionnement (également en PRÉVERSION), qui contiennent des informations sur l’activité du système sur les utilisateurs, les groupes et les rôles provisionnés par le service de provisionnement Microsoft Entra.
Les journaux d’activité Microsoft Graph, qui contiennent des informations sur les requêtes HTTP accédant aux ressources de votre locataire via l’API Microsoft Graph.
Important
Certains des types de journaux disponibles sont actuellement en PRÉVERSION. Pour connaître d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure.
Remarque
Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.
Prérequis
Une licence Microsoft Entra ID P1 ou P2 est nécessaire pour ingérer des journaux de connexion dans Microsoft Sentinel. Toute licence Microsoft Entra ID (gratuite/O365/P1 ou P2) suffit pour ingérer les autres types de journaux. D’autres frais par gigaoctet peuvent s’appliquer pour Azure Monitor (Log Analytics) et Microsoft Sentinel.
Le rôle Contributeur Microsoft Sentinel doit être attribué à votre utilisateur sur l’espace de travail.
Votre utilisateur doit avoir le rôle Administrateur de la sécurité sur le tenant à partir duquel vous souhaitez diffuser en continu les journaux, ou les autorisations équivalentes.
Votre utilisateur doit disposer d’autorisations en lecture et en écriture sur les paramètres de diagnostic Microsoft Entra pour pouvoir voir l’état de la connexion.
Installez la solution pour Microsoft Entra ID depuis le hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.
Connectez-vous à Microsoft Entra ID
Dans Microsoft Sentinel, sélectionnez Connecteurs de données dans le menu de navigation.
Dans la galerie des connecteurs de données, sélectionnez Microsoft Entra ID, puis sélectionnez Ouvrir la page du connecteur.
Cochez les cases en regard des types de journaux que vous souhaitez diffuser en continu dans Microsoft Sentinel, puis sélectionnez Connecter.
Recherche de données
Une fois la connexion établie, les données s’affichent dans Journaux, sous la section LogManagement, dans les tables suivantes :
SigninLogsAuditLogsAADNonInteractiveUserSignInLogsAADServicePrincipalSignInLogsAADManagedIdentitySignInLogsAADProvisioningLogsMSGraphActivityLogs
Pour interroger les journaux Microsoft Entra, entrez le nom de table approprié en haut de la fenêtre de requête.
Si une table attendue n’est pas disponible, vérifiez que les catégories de journaux sont sélectionnées pour votre espace de travail Microsoft Sentinel dans les paramètres de diagnostic Entra. Pour plus d’informations, consultez Configurer les paramètres de diagnostic Microsoft Entra pour les journaux d’activité.
Étapes suivantes
Dans ce document, vous avez appris à connecter Microsoft Entra ID à Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment avoir une visibilité sur vos données et les menaces potentielles.
- Prise en main de la détection des menaces avec Microsoft Sentinel.