Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les journaux Microsoft Entra ID fournissent des informations complètes sur les utilisateurs, les applications et les réseaux qui accèdent à votre locataire Microsoft Entra. Cet article explique les types de journaux que vous pouvez collecter à l'aide du connecteur de données Microsoft Entra ID, comment activer le connecteur pour envoyer des données à Microsoft Sentinel, et comment accéder à vos données dans Microsoft Sentinel.
Prérequis
Une licence ID de charge de travail Microsoft Entra Premium est requise pour diffuser en continu les journaux AADRiskyServicePrincipalset et AADServicePrincipalRiskEvents vers Microsoft Sentinel.
Une licence Microsoft Entra ID P1 ou P2 est nécessaire pour ingérer les journaux de connexion dans Microsoft Sentinel. Toute licence Microsoft Entra ID (gratuite/O365/P1/P2) est suffisante pour ingérer les autres types de journaux. D’autres frais par gigaoctet peuvent s’appliquer à Azure Monitor (Log Analytics) et à Microsoft Sentinel.
Le rôle Contributeur Microsoft Sentinel doit être attribué à votre utilisateur sur l’espace de travail.
Votre utilisateur doit avoir le rôle Administrateur de la sécurité sur le tenant à partir duquel vous souhaitez diffuser en continu les journaux, ou les autorisations équivalentes.
Votre utilisateur doit disposer d’autorisations en lecture et en écriture sur les paramètres de diagnostic Microsoft Entra pour pouvoir voir l’état de la connexion.
Types de données du connecteur de données Microsoft Entra ID
Ce tableau répertorie les journaux que vous pouvez envoyer depuis Microsoft Entra ID vers Microsoft Sentinel en utilisant le connecteur de données Microsoft Entra ID. Microsoft Sentinel stocke ces journaux dans l’espace de travail Log Analytics lié à votre espace de travail Microsoft Sentinel.
| Type de journal | Description | Log schema |
|---|---|---|
| Journaux d’audit | Activité système liée à la gestion des utilisateurs et des groupes, aux applications gérées et aux activités d’annuaire. | AuditLogs |
| Journaux de connexion | Connexions utilisateur interactives où un utilisateur fournit un facteur d’authentification. | SigninLogs |
| Journaux de connexion utilisateur non interactifs | Connexions effectuées par un client pour le compte d’un utilisateur sans interaction ni facteur d’authentification de l’utilisateur. | AADNonInteractiveUserSignInLogs |
| Journaux de connexion du service principal | Connexions par applications et principaux de service qui n’impliquent aucun utilisateur. Dans ces connexions, l’application ou le service fournit des informations d’identification pour son propre compte afin de s’authentifier ou d’accéder à des ressources. | AADServicePrincipalSignInLogs |
| Journaux de connexion d’identité managée | Connexions par les ressources Azure qui ont des secrets gérés par Azure. Pour plus d’informations, consultez Qu’est-ce que les identités managées pour les ressources Azure ?. | AADManagedIdentitySignInLogs |
| Journaux de connexion AD FS | Connexions effectuées via Services de fédération Active Directory (AD FS). | ADFSSignInLogs |
| Journaux d’audit Office 365 enrichis | Événements de sécurité liés aux applications Microsoft 365. | EnrichedOffice365AuditLogs |
| Journaux d’approvisionnement | Informations sur l’activité système sur les utilisateurs, les groupes et les rôles provisionnés par le service d’approvisionnement Microsoft Entra. | AADProvisioningLogs |
| Journaux d’activité Microsoft Graph | Requêtes HTTP accédant à des ressources de votre locataire via l’API Microsoft Graph. | MicrosoftGraphActivityLogs |
| Journaux du trafic d’accès réseau | Trafic et activités d’accès réseau. | NetworkAccessTraffic |
| Journaux de santé du réseau à distance | Informations sur l’intégrité des réseaux distants. | RemoteNetworkHealthLogs |
| Événements à risque utilisateur | Événements à risque utilisateur générés par Microsoft Entra ID Protection. | AADUserRiskEvents |
| Utilisateurs à risque | Utilisateurs à risque enregistrés par Microsoft Entra ID Protection. | AADRiskyUsers |
| Principaux de service à risque | Informations sur les "service principals" marqués comme risqués par Microsoft Entra ID Protection. | AADRiskyServicePrincipals |
| Événements de risque liés au service principal | Détections de risques associées aux principaux de service enregistrés par la Protection Microsoft Entra ID. | AADServicePrincipalRiskEvents |
Important
Certains des types de journaux disponibles sont actuellement en PRÉVERSION. Pour connaître d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure.
Remarque
Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.
Activer le connecteur de données Microsoft Entra ID
Recherchez et activez le connecteur d’ID Microsoft Entra , comme décrit dans Activer un connecteur de données.
Installer la solution Microsoft Entra ID (facultatif)
Installez la solution pour Microsoft Entra ID à partir du hub de contenu dans Microsoft Sentinel pour obtenir des classeurs prédéfinis, des règles d’analyse, des playbooks, etc. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.
Étapes suivantes
Dans ce document, vous avez appris à connecter Microsoft Entra ID à Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment avoir une visibilité sur vos données et les menaces potentielles.
- Prise en main de la détection des menaces avec Microsoft Sentinel.