Dépendances du déploiement de la supervision et du contrôle d’intégrité de Microsoft Entra
Votre solution de rapport et de supervision Microsoft Entra dépend de vos exigences juridiques, sécuritaires et opérationnelles, ainsi que des processus de votre environnement. Utilisez les sections suivantes pour découvrir les options de conception et la stratégie de déploiement.
Création de rapports et supervision Microsoft Entra
Les rapports Microsoft Entra ID offrent une vue et des journaux de l’activité Microsoft Entra dans votre environnement : les événements de connexion et d’audit, et également les changements apportés à votre annuaire.
Utilisez la sortie des données pour :
- Déterminer la façon dont les applications et les services sont utilisés
- Détecter les risques potentiels affectant l’intégrité de votre environnement
- Résoudre les problèmes empêchant les utilisateurs d’effectuer leur travail
- Obtenir des insights en consultant les événements d’audit relatifs aux modifications apportées à votre annuaire Microsoft Entra.
Microsoft Entra monitoring vous permet d'acheminer les logs générés par Microsoft Entra ID reporting vers différents systèmes cibles. Vous pouvez ensuite la conserver pour une utilisation à long terme ou l’intégrer à des outils SIEM (Security Information and Event Management) tiers pour obtenir davantage d’informations sur votre environnement.
Avec la supervision Microsoft Entra, vous pouvez router les journaux vers :
- Un compte de stockage Azure, à des fins d’archivage
- Les journaux Azure Monitor, où vous pouvez analyser les données, créer des tableaux de bord et créer des alertes sur des événements spécifiques.
- Un hub d’événements Azure, dans lequel vous pouvez intégrer vos outils SIEM existants tels que Splunk, Sumologic ou QRadar.
Prérequis
Vous aurez besoin d’une licence Microsoft Entra ID P1 ou P2 pour accéder aux journaux de connexion Microsoft Entra.
Pour obtenir des informations détaillées sur les fonctionnalités et les licences, consultez le guide des tarifs Microsoft Entra.
Pour déployer la supervision et le contrôle d’intégrité de Microsoft Entra, vous avez besoin d’un utilisateur administrateur général ou administrateur de la sécurité pour le locataire Microsoft Entra.
- Plateforme de données Azure Monitor
- Modification des noms et de la terminologie d’Azure Monitor
- Combien de temps Microsoft Entra ID stocke-t-il les données de rapport ?
- Un compte de stockage Azure doté des autorisations
ListKeys. Nous vous recommandons d’utiliser un compte de stockage général et pas un compte de stockage blob. Pour plus d’informations sur la tarification du stockage, utilisez la Calculatrice de prix pour le stockage Azure. - Un espace de noms Azure Event Hubs pour intégrer avec des solutions SIEM tierces.
- Un espace de travail Azure Log Analytics pour l’envoi de journaux d’activité aux journaux d’activité Azure Monitor.
Planifier et déployer un projet de déploiement de la supervision et du contrôle d’intégrité de Microsoft Entra
La création de rapports et la supervision permettent de répondre aux besoins de votre entreprise, d’obtenir des insights sur les modèles d’utilisation et d’améliorer la posture de sécurité de votre organisation. Dans ce projet, vous allez définir le public qui doit utiliser et superviser les rapports, puis vous allez définir votre architecture de supervision Microsoft Entra.
Parties prenantes, communications et documentation
Lorsque des projets technologiques échouent, cela est généralement dû à des attentes qui ne correspondent pas à l’effet, aux résultats et aux responsabilités. Pour éviter un tel cas de figure, veillez à faire appel aux bonnes personnes. Veillez également à ce qu’elles comprennent bien leur rôle dans le projet, en dressant la liste de leurs contributions et de leurs responsabilités.
Les parties prenantes doivent accéder aux journaux Microsoft Entra pour obtenir des insights opérationnels. Les utilisateurs les plus susceptibles d’utiliser ces journaux sont les membres de l’équipe de sécurité, les auditeurs internes ou externes, ainsi que les membres de l’équipe chargée des opérations de gestion des accès et des identités.
Les rôles Microsoft Entra vous permettent de déléguer la configuration et l’affichage des rapports Microsoft Entra en fonction de votre rôle. Identifiez les personnes de votre organisation qui ont besoin de l’autorisation pour lire les rapports Microsoft Entra et déterminez quel rôle leur conviendrait le mieux.
Les rôles suivants peuvent lire les rapports Microsoft Entra :
- Administrateur général
- Security Administrator
- Lecteur de sécurité
- Lecteur de rapports
En savoir plus sur Microsoft Entra rôles d’administration. Appliquez toujours le principe des privilèges minimum pour réduire le risque de compromission des comptes. Envisagez d’implémenter Privileged Identity Management pour renforcer la sécurité de votre organisation.
Impliquer les parties prenantes
Les projets réussis alignent les attentes, les résultats et les responsabilités. Consultez Microsoft Entra plans de déploiement. Documentez et communiquez les rôles des parties prenantes qui demandent des informations et une responsabilité.
Plan de communication
Dites à vos utilisateurs quand et comment leur expérience va changer. Fournissez les informations de contact du support.
- Les outils SIEM que vous utilisez, le cas échéant.
- Votre infrastructure Azure, y compris les comptes de stockage existants et la supervision utilisée.
- Les stratégies de conservation de votre organisation qui sont appliquées aux journaux, y compris les frameworks de conformité applicables nécessaires.
Cas d’usage métier
Pour mieux prioriser les cas d’usage et les solutions, organisez les options par « obligatoire pour que la solution réponde aux exigences de l’entreprise », « recommandé pour que la solution réponde aux exigences de l’entreprise » et « non applicable ».
À propos de l’installation
- Conservation - Conservation des journaux : stocker les journaux d’audit et les journaux de connexion de Microsoft Entra plus de 30 jours
- Analytique - Les journaux peuvent faire l’objet d’une recherche avec des outils analytiques
- Insights sur les opérations et la sécurité - Donner un accès en utilisation à l’application, aux erreurs de connexion, à l’utilisation en libre-service, aux tendances, etc.
- Intégration de SIEM - Intégrer et envoyer en streaming les journaux de connexion et les journaux d’audit Microsoft Entra aux systèmes SIEM
Architecture de solution de supervision
Avec la supervision Microsoft Entra, vous pouvez router les journaux d’activité Microsoft Entra et les conserver pour le reporting et l’analyse à long terme afin d’obtenir des insights sur l’environnement et de l’intégrer aux outils SIEM. Utilisez l’organigramme de décision suivant pour vous aider à sélectionner une architecture.
Archiver des journaux dans un compte de stockage
Vous pouvez conserver les journaux plus longtemps que la période de conservation par défaut en les routant vers un compte de stockage Azure.
Important
Utilisez cette méthode d’archivage si vous n’avez pas besoin d’intégrer les journaux à un système SIEM ou si vous n’avez pas besoin de requêtes ni d’analyses. Vous pouvez utiliser des recherches à la demande.
En savoir plus :
- Combien de temps Microsoft Entra ID stocke-t-il les données de rapport ?
- Tutoriel : Archiver des journaux Microsoft Entra dans un compte de stockage Azure
Envoyer en streaming les journaux aux outils de stockage et SIEM
- Intégrer les journaux Microsoft Entra aux journaux Azure Monitor.
- Analysez Microsoft Entra journaux d’activité avec les journaux Azure Monitor.
- Découvrez comment transmettre les journaux d’activité à un Event Hub.
- Découvrez comment Archiver Microsoft Entra journaux dans un compte de stockage Azure.
- Acheminer les journaux Microsoft Entra vers un concentrateur d'événements