Analyser les journaux d’activité Microsoft Entra avec Log Analytics

Une fois que vous avez intégré les journaux d’activité Microsoft Entra aux journaux Azure Monitor, vous pouvez tirer parti de la puissance de Log Analytics et des journaux Azure Monitor pour obtenir des insights de votre environnement.

  • Comparez vos journaux de connexion Microsoft Entra aux journaux de sécurité publiés par Microsoft Defender pour le cloud.

  • Résoudre les goulots d’étranglement de performances sur la page de connexion de votre application en mettant en corrélation les données de performances d’application à partir d’Azure Application Insights.

  • Analyser les utilisateur à risque en matière de protection d’identité et les journaux d'activité de détection de risque pour détecter les menaces dans votre environnement.

Cet article explique comment analyser les journaux d’activité Microsoft Entra dans votre espace de travail Log Analytics.

Prérequis

Pour analyser les journaux d’activité avec Log Analytics, vous avez besoin des éléments suivants :

  • Un locataire Microsoft Entra avec une licence Premium P1
  • Un espace de travail Log Analytics et accède à cet espace de travail
  • Les rôles appropriés pour Azure Monitor et Microsoft Entra ID

Espace de travail Log Analytics

Vous devez créer un espace de travail Log Analytics. Plusieurs facteurs déterminent l'accès aux espaces de travail Log Analytics. Vous avez besoin des rôles appropriés pour l’espace de travail et les ressources qui envoient les données.

Pour plus d’informations, consultez Gérer l’accès aux espaces de travail Log Analytics.

Rôles Azure Monitor

Azure Monitor fournit deux rôles intégrés pour l’affichage des données de surveillance et la modification des paramètres de supervision. Le contrôle d’accès en fonction du rôle (RBAC) Azure fournit également deux rôles Log Analytics intégrés qui accordent un accès similaire.

  • Affichage :

    • Lecteur d’analyse
    • Lecteur Log Analytics
  • Afficher et modifier les paramètres :

    • Contributeur d’analyse
    • Contributeur Log Analytics

Pour plus d’informations sur les rôles intégrés Azure Monitor, consultez Rôles, autorisations et sécurité dans Azure Monitor.

Pour plus d’informations sur les rôles RBAC pour Log Analytics, consultez Rôles intégrés Azure

Rôles Microsoft Entra

L'accès en lecture seule vous permet d'afficher les données du journal Microsoft Entra ID dans un classeur, d'interroger les données de Log Analytics ou de lire les journaux dans le centre d'administration Microsoft Entra. L'accès aux mises à jour ajoute la possibilité de créer et de modifier des paramètres de diagnostic pour envoyer des données Microsoft Entra à un espace de travail Log Analytics.

  • Lecture :

    • Lecteur de rapports
    • Lecteur de sécurité
    • Lecteur général
  • Mettre à jour :

    • Administrateur de la sécurité

Pour plus d'informations sur les rôles intégrés Microsoft Entra, voir Rôles intégrés Microsoft Entra.

Accéder à Log Analytics

Pour voir Microsoft Entra ID Log Analytics, vous devez déjà envoyer vos journaux d’activité de Microsoft Entra ID à un espace de travail Log Analytics. Ce processus est abordé dans l’article Comment intégrer des journaux d’activité à Azure Monitor.

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

  1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.

  2. Accédez à Identité>Surveillance et intégrité>Log Analytics. Une requête de recherche par défaut s’exécute.

    Default query

  3. Développez la catégorie LogManagement pour afficher la liste des requêtes liées au journal.

  4. Sélectionnez ou pointez sur le nom d’une requête pour afficher une description et d’autres détails utiles.

    Screenshot of the details of a query.

  5. Développez une requête à partir de la liste pour afficher le schéma.

    Screenshot of the schema of a query.

Interroger les journaux d’activité

Vous pouvez exécuter des requêtes sur les journaux d’activité routés vers un espace de travail Log Analytics. Par exemple, pour obtenir une liste des applications ayant le plus de connexions de la semaine dernière, entrez la requête suivante et cliquez sur le bouton Exécuter.

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Pour obtenir les principaux événements d’audit générés la semaine dernière, utilisez la requête suivante :

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Configurer des alertes

Vous pouvez également définir des alertes sur une requête. Après avoir exécuté une requête, le bouton + Nouvelle règle d'alerte devient actif.

  1. Dans Log Analytics, cliquez sur le bouton + Nouvelle règle d’alerte.

    • Le processus Créer une règle implique plusieurs sections pour personnaliser les critères de la règle.
    • Pour plus d’informations sur la création de règles d’alerte, consultez Créer une règle d’alerte à partir de la documentation Azure Monitor, en commençant par les étapes Condition.

    Screenshot of the

  2. Dans l'onglet Actions, sélectionnez le groupe d'action qui doit recevoir l'alerte lorsque le signal se produit.

  3. Sur l’onglet Détails , donnez un nom à la règle d’alerte et associez-la à un abonnement et à un groupe de ressources.

  4. Après avoir configuré tous les détails nécessaires, cliquez sur le bouton Vérifier + créer.

Utiliser des classeurs pour analyser les journaux

Les classeurs Microsoft Entra fournissent plusieurs rapports liés à des scénarios courants impliquant des événements d’audit, de connexion et de provisionnement. Vous pouvez aussi créer des alertes sur les données figurant dans ces rapports, en effectuant les étapes décrites dans la section précédente.

  • Analyse du provisionnement : ce workbook montre les rapports relatifs à l’audit de l’activité de provisionnement. Les activités peuvent comprendre le nombre de nouveaux utilisateurs provisionnés, les échecs de provisionnement, le nombre d’utilisateurs mis à jour, les échecs de mise à jour, le nombre d’utilisateurs déprovisionnés et les échecs correspondants. Pour plus d’informations, consultez Comprendre comment l’approvisionnement s’intègre aux journaux Azure Monitor.

  • Événements de connexion : Ce workbook montre les rapports les plus pertinents sur la supervision de l’activité de connexion (par exemple, les connexions par application, par utilisateur et par appareil, et un récapitulatif de l’évolution du nombre de connexions).

  • Insights sur l’Accès conditionnel : Le classeur aperçus et rapports sur l’Accès conditionnel vous permet de comprendre l’évolution de l’effet des stratégies d’Accès conditionnel dans votre organisation. Pour plus d’informations, consultez Insights et rapports sur l’accès conditionnel.

Étapes suivantes