Qu’est-ce que la surveillance et l’intégrité de Microsoft Entra ?
Les fonctionnalités de surveillance et d’intégrité de Microsoft Entra offrent une vision complète de l’activité en rapport avec l’identité dans votre environnement. Ces données vous permettent de :
- Déterminer la façon dont vos utilisateurs utilisent vos applications et services.
- Détecter les risques potentiels affectant l’intégrité de votre environnement.
- Résoudre les problèmes empêchant les utilisateurs d’effectuer leur travail.
- Obtenez des informations en consultant les événements d’audit relatifs aux modifications apportées à votre annuaire Microsoft Entra.
Les journaux de connexion et d’audit sont constitués des journaux d’activité sur lesquels reposent de nombreux rapports Microsoft Entra, qui peuvent servir à analyser, superviser et résoudre les problèmes d’activité dans votre client. Le fait de router vos journaux d’activité vers une solution d’analyse et de monitoring procure des informations plus détaillées sur l’intégrité et la sécurité de votre client.
Cet article décrit les types de journaux d’activité disponibles dans Microsoft Entra ID, les rapports qui utilisent les journaux ainsi que les services de monitoring auxquels vous avez accès pour faciliter l’analyse des données.
Journaux d’activité d’identité
Les journaux d’activité vous aident à comprendre le comportement des utilisateurs de votre organisation. Il existe trois types de journaux d’activité dans Microsoft Entra ID :
Les journaux d’audit incluent l’historique de chaque tâche effectuée dans votre client.
Les journaux de connexion capturent les tentatives de connexion de vos utilisateurs et applications clientes.
Les journaux de provisionnement fournissent des informations sur les utilisateurs provisionnés dans votre client par l’intermédiaire d’un service tiers.
Les journaux d’activité peuvent être consultés sur le portail Azure ou à l’aide de l’API Microsoft Graph. Les journaux d’activité peuvent également être routés vers différents points de terminaison à des fins de stockage ou d’analyse. Pour découvrir toutes les options de consultation des journaux d’activité, consultez Guide pratique pour accéder aux journaux d’activité.
Journaux d’audit
Les journaux d’audit mettent à votre disposition les enregistrements des activités système à des fins de conformité. Ces données vous permettent de résoudre des scénarios courants, tels que :
- Une personne de mon client a obtenu l’accès à un groupe d’administration. Qui lui a fourni cet accès ?
- Je souhaite obtenir la liste des utilisateurs se connectant à une application spécifique, car j’ai récemment intégré cette application et je voudrais savoir si j’ai bien fait.
- Je souhaite savoir combien de réinitialisations de mot de passe se produisent dans mon client.
Journaux de connexion
Les journaux de connexion vous permettent de trouver des réponses aux questions de type :
- Quel est le modèle de connexion d’un utilisateur ?
- Combien d’utilisateurs se sont connectés au cours d’une semaine ?
- Quel est l’état de ces connexions ?
Journaux de mise en service
Vous pouvez utiliser les journaux d’approvisionnement pour trouver des réponses à des questions telles que :
- Quels groupes ont été créés avec succès dans ServiceNow ?
- Quels utilisateurs ont été correctement supprimés d’Adobe ?
- Quels utilisateurs de Workday ont été correctement crées dans Active Directory ?
Rapports sur les identités
L’examen des données dans les journaux d’activité Microsoft Entra peut fournir des informations utiles aux administrateurs informatiques. Pour simplifier l’examen des données dans les scénarios clés, nous avons créé plusieurs rapports sur des scénarios courants qui utilisent les journaux d’activité.
- Protection de l’identité utilise les données de connexion pour créer des rapports sur les utilisateurs à risque et les activités de connexion.
- L’activité liée à vos applications, comme celle qui concerne les principaux de service et les identifiants d’application, sert à créer les rapports Utilisation et insights.
- Les classeurs Microsoft Entra offrent un moyen personnalisable d’afficher et d’analyser les journaux d’activité.
- Utilisez les recommandations Microsoft Entra pour suivre et améliorer la sécurité de votre client.
- Microsoft Entra Health capture l’obtention d’un contrat de niveau de service global et les signaux d’intégrité pour plusieurs scénarios clés.
Monitoring des identités et intégrité du client
L’examen des journaux d’activité Microsoft Entra est la première étape de la maintenance et de l’amélioration de l’intégrité et de la sécurité de votre client. Vous devez analyser les données, superviser les scénarios à risque et identifier les points d’amélioration possibles. La surveillance Microsoft Entra fournit les outils nécessaires pour vous aider à prendre des décisions avisées.
La surveillance des journaux d’activité Microsoft Entra nécessite de router les données de journal vers une solution de surveillance et d’analyse. Les points de terminaison incluent des journaux Azure Monitor, Microsoft Sentinel ou l’outil SIEM (Security Information and Event Management) d’une solution tierce.
- Diffuser des journaux à destination d’un hub d’événements en vue de les intégrer à des outils SIEM tiers.
- Intégrer des journaux aux journaux Azure Monitor
- Analyser les journaux avec les journaux Azure Monitor et Log Analytics.
Cas d’utilisation
Votre utilisation des journaux, rapports et services de surveillance disponibles dépend des besoins de votre organisation. Pour mieux classer par ordre de priorité les cas d’usage et les solutions, il peut être utile de voir comment ces solutions sont liées les unes aux autres, comment elles diffèrent et comment elles peuvent être utilisées ensemble.
Considérations
- Rétention – Rétention des journaux : stocker les journaux d’audit et les journaux de connexion de Microsoft Entra pendant plus de 30 jours
- Analytique – Les journaux peuvent faire l’objet d’une recherche avec des outils analytiques
- Insights sur les opérations et la sécurité – Donner un accès en utilisation à l’application, aux erreurs de connexion, à l’utilisation en libre-service, aux tendances, etc.
- Intégration de SIEM – Intégrer et envoyer en streaming les journaux de connexion et les journaux d’audit Microsoft Entra aux systèmes SIEM
Avec la supervision Microsoft Entra, vous pouvez router les journaux d’activité Microsoft Entra et les conserver pour le reporting et l’analyse à long terme afin d’obtenir des insights sur l’environnement et de l’intégrer aux outils SIEM. Utilisez l’organigramme de décision suivant pour vous aider à sélectionner une architecture.
Pour obtenir une vue d’ensemble de l’accès, du stockage et de l’analyse des journaux d’activité, consultez Guide pratique pour accéder aux journaux d’activité.