Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Entra ID journaux fournissent des informations complètes sur les utilisateurs, les applications et les réseaux qui accèdent à votre locataire Microsoft Entra. Cet article explique les types de journaux que vous pouvez collecter à l’aide du connecteur de données Microsoft Entra ID, comment permettre au connecteur d’envoyer des données à Microsoft Sentinel et comment trouver vos données dans Microsoft Sentinel.
Configuration requise
Une licence ID de charge de travail Microsoft Entra Premium est nécessaire pour diffuser en continu les journaux AADRiskyServicePrincipals et AADServicePrincipalRiskEvents vers Microsoft Sentinel.
Une licence Microsoft Entra ID P1 ou P2 est nécessaire pour ingérer les journaux de connexion dans Microsoft Sentinel. Toute licence Microsoft Entra ID (Free/O365/P1 ou P2) est suffisante pour ingérer les autres types de journaux. D’autres frais par gigaoctet peuvent s’appliquer pour Azure Monitor (Log Analytics) et Microsoft Sentinel.
Le rôle Contributeur Microsoft Sentinel doit être attribué à votre utilisateur sur l’espace de travail.
Votre utilisateur doit avoir le rôle Administrateur de la sécurité sur le locataire à partir duquel vous souhaitez diffuser les journaux ou les autorisations équivalentes.
Votre utilisateur doit disposer d’autorisations de lecture et d’écriture sur les paramètres de diagnostic Microsoft Entra pour pouvoir voir la connexion status.
Microsoft Entra ID types de données du connecteur de données
Ce tableau répertorie les journaux que vous pouvez envoyer de Microsoft Entra ID à Microsoft Sentinel à l’aide du connecteur de données Microsoft Entra ID. Microsoft Sentinel stocke ces journaux dans l’espace de travail Log Analytics lié à votre espace de travail Microsoft Sentinel.
| Type de journal | Description | Schéma de journal |
|---|---|---|
| Journaux d’audit | Activité système liée à la gestion des utilisateurs et des groupes, aux applications managées et aux activités d’annuaire. | AuditLogs |
| Journaux de connexion | Connexions utilisateur interactives où un utilisateur fournit un facteur d’authentification. | SigninLogs |
| Journaux de connexion utilisateur non interactifs | Connexions effectuées par un client pour le compte d’un utilisateur sans aucun facteur d’interaction ou d’authentification de la part de l’utilisateur. | AADNonInteractiveUserSignInLogs |
| Journaux de connexion du principal de service | Connexions par des applications et des principaux de service qui n’impliquent aucun utilisateur. Dans ces connexions, l’application ou le service fournit des informations d’identification pour son propre compte pour s’authentifier ou accéder aux ressources. | AADServicePrincipalSignInLogs |
| Journaux de connexion d’identité managée | Les connexions par Azure ressources dont les secrets sont gérés par Azure. Pour plus d’informations, consultez Que sont les identités managées pour les ressources Azure ? | AADManagedIdentitySignInLogs |
| Journaux de connexion AD FS | Connexions effectuées via Services ADFS (AD FS). | ADFSSignInLogs |
| Journaux d’audit Office 365 enrichis | Événements de sécurité liés aux applications Microsoft 365. | EnrichedOffice365AuditLogs |
| Journaux d’approvisionnement | Informations sur l’activité système sur les utilisateurs, les groupes et les rôles approvisionnés par le service d’approvisionnement Microsoft Entra. | AADProvisioningLogs |
| Journaux d’activité Microsoft Graph | Requêtes HTTP accédant aux ressources de votre locataire via le API Graph Microsoft. | MicrosoftGraphActivityLogs |
| Journaux du trafic d’accès réseau | Trafic et activités d’accès réseau. | NetworkAccessTraffic |
| Journaux d’intégrité du réseau distant | Informations sur l’intégrité des réseaux distants. | RemoteNetworkHealthLogs |
| Événements à risque de l’utilisateur | Événements à risque utilisateur générés par Microsoft Entra ID Protection. | AADUserRiskEvents |
| Utilisateurs risqués | Utilisateurs à risque enregistrés par Microsoft Entra ID Protection. | AADRiskyUsers |
| Principaux de service à risque | Informations sur les principaux de service marqués comme risqués par Microsoft Entra ID Protection. | AADRiskyServicePrincipals |
| Événements à risque du principal de service | Détections de risques associées aux principaux de service enregistrés par Microsoft Entra ID Protection. | AADServicePrincipalRiskEvents |
Importante
Certains des types de journaux disponibles sont actuellement en PRÉVERSION. Consultez les Conditions d’utilisation supplémentaires de Microsoft Azure Préversions pour obtenir d’autres conditions légales qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.
Remarque
Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du gouvernement des États-Unis, consultez les tables Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du gouvernement des États-Unis.
Activer le connecteur de données Microsoft Entra ID
Recherchez et activez le connecteur Microsoft Entra ID comme décrit dans Activer un connecteur de données.
Installer la solution Microsoft Entra ID (facultatif)
Installez la solution pour Microsoft Entra ID à partir du hub de contenu dans Microsoft Sentinel pour obtenir des classeurs prédéfinis, des règles d’analyse, des playbooks, etc. Pour plus d’informations, consultez Découvrir et gérer Microsoft Sentinel contenu prête à l’emploi.
Étapes suivantes
Dans ce document, vous avez appris à vous connecter Microsoft Entra ID à Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment obtenir une visibilité sur vos données et les menaces potentielles.
- Commencez à détecter les menaces avec Microsoft Sentinel.