Partager via

Comment accéder aux journaux d'activité dans Microsoft Entra ID

Les données collectées dans vos journaux Microsoft Entra vous permettent d'évaluer de nombreux aspects de votre locataire Microsoft Entra. Pour couvrir un vaste éventail de scénarios, Microsoft Entra ID vous offre plusieurs options pour accéder aux données de vos journaux d'activité. En tant qu’administrateur informatique, vous devez comprendre les cas d’utilisation prévus pour ces options, afin de pouvoir sélectionner la méthode d’accès adaptée à votre scénario.

Vous pouvez accéder aux journaux d'activité et aux rapports Microsoft Entra à l'aide des méthodes suivantes :

Chacune de ces méthodes vous offre des fonctionnalités qui peuvent être adaptées à certains scénarios. Cet article décrit ces scénarios, y compris des recommandations et des détails sur les rapports connexes qui utilisent les données des journaux d'activité. Explorez les options présentées dans cet article pour en savoir plus sur ces scénarios afin de pouvoir choisir la méthode qui vous convient le mieux.

Prerequisites

Les licences requises varient en fonction des capacités de surveillance et d'intégrité.

Fonctionnalité Microsoft Entra ID Gratuit Microsoft Entra ID P1 ou P2 / Microsoft Entra Suite
Journaux d’audit Oui Oui
Journaux d’activité de connexion Oui Oui
Journaux de mise en service Non Oui
Attributs de sécurité personnalisés Oui Oui
Santé Non Oui
Journaux d'activité Microsoft Graph Non Oui
Utilisation et insights Non Oui

Consulter les journaux via le centre d'administration Microsoft Entra

Pour les enquêtes ponctuelles avec une étendue limitée, le centre d’administration Microsoft Entra est souvent le moyen le plus simple de trouver les données dont vous avez besoin. L'interface utilisateur for chacun de ces rapports vous offre des options de filtre qui vous permettent de trouver les entrées dont vous avez besoin pour résoudre votre scénario.

Les données capturées dans les journaux d'activité Microsoft Entra sont utilisées dans de nombreux rapports et services. Vous pouvez consulter les journaux de connexion, d'audit et de provisionnement pour des scénarios ponctuels, ou utiliser les rapports pour regarder les schémas et les tendances. Les données issues des journaux d'activité permettent de remplir les rapports de protection de l'identité, qui fournissent des informations sur les risques liés à la sécurité que Microsoft Entra ID peut détecter et signaler. Les journaux d'activité Microsoft Entra alimentent également les rapports d'utilisation et d'informations, qui fournissent des détails sur l'utilisation des applications de votre locataire.

Les rapports disponibles dans le portail Azure offrent un large éventail de fonctionnalités permettant de surveiller les activités et l'utilisation dans votre locataire. La liste suivante d'utilisations et de scénarios n'est pas exhaustive, alors explorez les rapports pour trouver ceux qui correspondent à vos besoins.

  • Recherchez l'activité de connexion d'un utilisateur ou suivez l'utilisation d'une application.
  • Consultez les détails relatifs aux changements de nom de groupe, à l'enregistrement des appareils et à la réinitialisation des mots de passe à l'aide des journaux d'audit.
  • Utilisez les rapports de protection de l'identité pour surveiller les utilisateurs, les identités de charge de travail et les connexions à risque.
  • Vérifiez le taux de réussite des connexions dans le rapport sur l'activité des applications Microsoft Entra (préversion) à partir de la section Utilisation et informations pour vous assurer que vos utilisateurs peuvent accéder aux applications utilisées dans votre locataire.
  • Comparez les différentes méthodes d'authentification préférées de vos utilisateurs à l'aide du rapport Méthodes d'authentification disponible dans Utilisation et statistiques.

Procédure rapide

Suivez les étapes suivantes pour accéder aux rapports dans le centre d'administration Microsoft Entra.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant que lecteur de rapports au moins.
  2. Accédez à Entra ID>Surveillance et intégrité>Journaux d'audit/Journaux de connexion/Journaux d'approvisionnement.
  3. Ajustez le filtre en fonction de vos besoins.

Les journaux d'audit sont accessibles directement depuis la zone du centre d'administration Microsoft Entra dans laquelle vous travaillez. Par exemple, si vous êtes dans la section Groupes ou licences de Microsoft Entra ID, vous pouvez accéder aux journaux d’audit pour ces activités spécifiques directement à partir de cette zone. Lorsque vous accédez aux journaux d'audit de cette manière, les catégories de filtrage sont automatiquement définies. Par exemple, si vous êtes dans des groupes, la catégorie de filtre du journal d’audit est définie sur GroupManagement.

Transmettre en continu des journaux vers un hub d'événements pour les intégrer aux outils SIEM

Transmettre en continu vos journaux d'activité vers un hub d'événements est nécessaire pour intégrer vos journaux d'activité à des outils de gestion des informations et des événements de sécurité (SIEM), tels que Splunk et SumoLogic. Avant de pouvoir diffuser des journaux vers un hub d'événements, vous devez configurer un espace de noms Event Hubs et un hub d'événements dans votre abonnement Azure.

Les outils SIEM que vous pouvez intégrer à votre hub d'événements peuvent fournir des capacités d'analyse et de surveillance. Si vous utilisez déjà ces outils pour ingérer des données provenant d'autres sources, vous pouvez diffuser vos données d'identité pour une analyse et une surveillance plus complètes. Nous vous recommandons de transmettre en continu vos journaux d'activité vers un hub d'événements dans les types de scénarios suivants :

  • Vous avez besoin d'une plateforme de streaming Big Data et un service d'ingestion d'événements pour recevoir et traiter des millions d'événements par seconde.
  • Vous souhaitez transformer et stocker des données à l'aide d'un fournisseur d'analytique en temps réel ou adaptateur de stockage/traitement par lot.

Procédure rapide

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.
  2. Créez un espace de noms Event Hubs et un hub d’événements.
  3. Accédez à Entra ID>Supervision et intégrité>Paramètres de diagnostic.
  4. Pour choisir les journaux de bord que vous souhaitez diffuser en continu, sélectionnez l’option Stream vers un hub d’événements, puis remplissez les champs.

Votre fournisseur de sécurité indépendant doit vous fournir des instructions sur la façon d’ingérer des données à partir d’Azure Event Hubs dans leur outil.

Accéder aux journaux avec l'API Microsoft Graph

L'API Microsoft Graph fournit un modèle de programmabilité unifié que vous pouvez utiliser pour accéder aux données de vos locataires Microsoft Entra ID P1 ou P2. Elle n'a pas besoin d'un administrateur ni d'un développeur pour configurer une infrastructure supplémentaire afin de prendre en charge votre script ou votre application.

À l'aide de l'explorateur Microsoft Graph, vous pouvez exécuter des requêtes pour vous aider dans les types de scénarios suivants :

  • Consultez les activités des locataires, telles que qui a apporté une modification à un groupe et quand.
  • Marquer un événement de connexion Microsoft Entra comme sûr ou compromis de manière confirmée.
  • Récupérer la liste des connexions à l'application au cours des 30 derniers jours.

Note

Microsoft Graph permet d'accéder à des données provenant de plusieurs services qui imposent leurs propres limites de débit. Pour en savoir plus sur la limitation des journaux d'activité, consultez Limites de régulation spécifiques au service Microsoft Graph.

Procédure rapide

  1. Configurez les prérequis.
  2. Connectez-vous à l’Explorateur Graph.
  3. Définissez la méthode HTTP et la version de l'API.
  4. Ajoutez une requête, puis sélectionnez le bouton Exécuter la requête .

Intégrez les journaux d'activité aux journaux de surveillance Azure

Grâce à l'intégration des journaux Azure Monitor, vous pouvez activer des visualisations riches, la supervision et les alertes sur les données connectées. Log Analytics offre des fonctionnalités améliorées de requête et d'analyse pour les journaux d'activité Microsoft Entra. Pour intégrer les journaux d'activité Microsoft Entra aux journaux Azure Monitor, vous avez besoin d'un espace de travail Log Analytics. À partir de là, vous pouvez exécuter des requêtes via Log Analytics.

L'intégration des journaux Microsoft Entra aux journaux Azure Monitor permet de centraliser l'interrogation des journaux. Nous recommandons d'intégrer les journaux à Azure Monitor dans les cas suivants :

  • Comparez les journaux de connexion Microsoft Entra avec les journaux publiés par d'autres services Azure.
  • Corrélez les journaux de connexion avec Azure Application Insights.
  • Interrogez les journaux à l'aide de paramètres de recherche spécifiques.

Procédure rapide

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.
  2. Créez un espace de travail Log Analytics.
  3. Accédez à Entra ID>Supervision et intégrité>Paramètres de diagnostic.
  4. Choisissez les journaux que vous souhaitez transférer, sélectionnez l’option Envoyer à l’espace de travail Log Analytics, puis remplissez les champs.
  5. Accédez à Entra ID>Surveillance et santé>Log Analytics et commencez à interroger les données.

Superviser des événements avec Microsoft Sentinel

L'envoi des journaux de connexion et d'audit à Microsoft Sentinel permet à votre centre des opérations de sécurité de bénéficier d'une détection des menaces et d'une recherche des menaces en temps quasi réel. Le terme chasse aux menaces fait référence à une approche proactive pour améliorer la posture de sécurité de votre environnement. Contrairement à une protection classique, la chasse aux menaces tente d'identifier de manière proactive des menaces potentielles susceptibles de nuire à votre système. Les données de votre journal d’activité peuvent faire partie de votre solution de chasse aux menaces.

Nous vous recommandons d'utiliser les fonctionnalités de détection de sécurité en temps réel de Microsoft Sentinel si votre organisation a besoin d'analyses de sécurité et d'informations sur les menaces. Utilisez Microsoft Sentinel si vous avez besoin :

  • de collecter des données de sécurité dans toute l'entreprise ;
  • de détecter les menaces avec un large éventail de renseignements à leur sujet ;
  • d'enquêter sur les incidents critiques avec l'aide de l'IA ;
  • de réagir rapidement et d'automatiser la protection.

Procédure rapide

  1. Découvrez les conditions préalables, lesrôles et les autorisations.
  2. Estimer les coûts potentiels.
  3. Intégration à Microsoft Sentinel.
  4. Collectez les données Microsoft Entra.
  5. Commencez à chasser les menaces.

Exporter des journaux pour le stockage et les requêtes

La solution appropriée pour votre stockage à long terme dépend de votre budget et de ce que vous prévoyez de faire avec les données. Vous avez trois options :

  • Archiver les journaux dans le stockage Azure
  • Télécharger les journaux pour les stocker manuellement
  • Intégrez les journaux d'activité aux journaux de surveillance Azure

Stockage Azure est la bonne solution si vous ne prévoyez pas d’interroger vos données souvent. Pour plus d'informations, consultez Archiver des journaux d'annuaire dans un compte de stockage.

Si vous envisagez d’interroger les journaux souvent pour exécuter des rapports ou effectuer une analyse sur les journaux stockés, vous devez intégrer vos données aux journaux Azure Monitor.

Si votre budget est serré et que vous avez besoin d’une méthode bon marché pour créer une sauvegarde à long terme de vos journaux d’activité, vous pouvez télécharger manuellement vos journaux d’activité. L’interface utilisateur des journaux d’activité dans le portail vous offre une option permettant de télécharger les données au format JSON ou CSV. Un inconvénient du téléchargement manuel est qu'il nécessite davantage d'interaction manuelle. Si vous recherchez une solution plus professionnelle, utilisez Stockage Azure ou Azure Monitor.

Nous vous recommandons de créer un compte de stockage afin d'archiver vos journaux d'activité pour les scénarios de gouvernance et de conformité nécessitant un stockage à long terme.

Si vous souhaitez effectuer un stockage à long terme et exécuter des requêtes sur les données, consultez la section sur l’intégration de vos journaux d’activité avec les journaux d’activité Azure Monitor.

Si vous disposez d'un budget limité, nous vous recommandons de télécharger et de stocker manuellement vos journaux d'activité.

Procédure rapide

Suivez les étapes suivantes pour archiver ou télécharger vos journaux d'activité.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.
  2. Créez un compte de stockage.
  3. Accédez à Entra ID>Supervision et intégrité>Paramètres de diagnostic.
  4. Choisissez les logs que vous souhaitez diffuser en continu, sélectionnez l’option Archiver dans un compte de stockage, puis remplissez les champs.

Étapes suivantes