Partager via


Analyser les journaux d’activité Microsoft Entra avec Log Analytics

Après avoir intégré les journaux d’activité Microsoft Entra aux journaux Azure Monitor, vous pouvez utiliser la puissance des journaux Log Analytics et Azure Monitor pour obtenir des insights sur votre environnement.

  • Comparer vos journaux d’activité de connexion Microsoft Entra aux journaux de sécurité publiés par Microsoft Defender pour le cloud.

  • Résoudre les goulots d’étranglement de performances sur la page de connexion de votre application en mettant en corrélation les données de performances d’application à partir d’Azure Application Insights.

  • Analyser les utilisateur à risque en matière de protection d’identité et les journaux d'activité de détection de risque pour détecter les menaces dans votre environnement.

Cet article vous montre comment analyser les journaux d’activité Microsoft Entra dans votre espace de travail Log Analytics.

Prerequisites

Pour analyser les journaux d’activité avec Log Analytics, vous avez besoin des éléments suivants :

  • Un locataire Microsoft Entra opérationnel avec une licence Microsoft Entra ID P1 ou P2 associée.
  • Un espace de travail Log Analytics et un accès à cet espace de travail
  • Rôles appropriés pour Azure Monitor et Microsoft Entra ID

Espace de travail Log Analytics

Vous devez créer un espace de travail Log Analytics. Plusieurs facteurs déterminent l’accès aux espaces de travail Log Analytics. Vous avez besoin des rôles appropriés pour l’espace de travail et les ressources qui envoient les données.

Pour plus d’informations, consultez Gérer l’accès aux espaces de travail Log Analytics.

Rôles Azure Monitor

Azure Monitor fournit deux rôles intégrés pour l’affichage des données de surveillance et la modification des paramètres de surveillance. Le contrôle d’accès en fonction du rôle (RBAC) Azure fournit également deux rôles intégrés Log Analytics qui accordent un accès similaire.

  • Affichage :

    • Lecteur d’analyse
    • Lecteur Log Analytics
  • Afficher et modifier les paramètres :

    • Contributeur d’analyse
    • Contributeur Log Analytics

Pour plus d’informations sur les rôles intégrés Azure Monitor, consultez Rôles, autorisations et sécurité dans Azure Monitor.

Pour plus d’informations sur les rôles Log Analytics, consultez rôles intégrés Azure

Rôles Microsoft Entra

L’accès en lecture seule vous permet d’afficher les données du journal d’activité Microsoft Entra ID dans un classeur, d’interroger les données de Log Analytics ou de lire les journaux d’activité dans le centre d’administration Microsoft Entra. L’accès aux mises à jour ajoute la possibilité de créer et de modifier des paramètres de diagnostic pour envoyer des données Microsoft Entra à un espace de travail Log Analytics.

  • Lecture :

    • Lecteur de rapports
    • Lecteur de sécurité
    • Lecteur général
  • Mise à jour :

    • Administrateur de la sécurité

Pour plus d’informations sur les rôles intégrés Microsoft Entra, consultez rôles intégrés Microsoft Entra.

Accès à Log Analytics

Pour voir l’analytique des journaux d’activité Microsoft Entra ID, vous devez déjà envoyer vos journaux d’activité de Microsoft Entra ID à un espace de travail Log Analytics. Ce processus est abordé dans l’article Comment intégrer les journaux d'activité avec Azure Monitor.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant que lecteur de rapports au moins.

  2. Accédez à Entra ID>Supervision et intégrité>Log Analytics. Une requête de recherche par défaut s’exécute.

    Requête par défaut

  3. Développez la catégorie LogManagement pour afficher la liste des requêtes liées au journal.

  4. Sélectionnez ou pointez le curseur sur le nom d’une requête pour afficher une description et d’autres détails utiles.

  5. Développez une requête à partir de la liste pour afficher le schéma.

    Capture d’écran du schéma d’une requête.

Interroger les journaux d’activité

Vous pouvez exécuter des requêtes sur les journaux d’activité routés vers un espace de travail Log Analytics. Par exemple, pour obtenir la liste des applications avec les connexions les plus courantes de la semaine dernière, entrez la requête suivante et sélectionnez le bouton Exécuter .

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc 

Pour rechercher des événements à connexion risquée, utilisez la requête suivante :

SigninLogs
| where RiskState contains "atRisk"

Pour obtenir les principaux événements d’audit générés la semaine dernière, utilisez la requête suivante :

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Pour résumer le nombre d’événements d’approvisionnement par jour, par action :

AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)

Prenez 100 événements d’approvisionnement et projetez les propriétés clés :

AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100