Activer l’audit et le monitoring de l’intégrité dans Microsoft Sentinel (préversion)
Auditez et surveillez l’intégrité des ressources Microsoft Sentinel prises en charge en activant la fonctionnalité d’audit et de monitoring de l’intégrité dans la page Paramètres de Microsoft Sentinel. Obtenez des insights sur les dérives d’intégrité (comme les derniers événements d’échec, les changements d’état de réussite à échec, et les actions non autorisées), puis utilisez ces informations pour créer des notifications et d’autres actions automatisées.
Pour obtenir des données d’intégrité à partir de la table de données SentinelHealth, ou des informations d’audit à partir de la table de données SentinelAudit, vous devez d’abord activer la fonctionnalité d’audit et de surveillance de l’intégrité dans Microsoft Sentinel pour votre espace de travail. Cet article vous explique comment activer ces fonctionnalités.
Pour implémenter la fonctionnalité d’intégrité et d’audit à l’aide de l’API (Bicep/AZURE RESOURCE MANAGER/REST), examinez les opérations de paramétrage du diagnostic. Pour configurer le temps de conservation des données pour vos événements d’intégrité et d’audit, consultez Gérer la conservation des données dans un espace de travail Log Analytics.
Important
Les tables de données SentinelHealth et SentinelAudit sont actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
Prérequis
- Avant de commencer, apprenez-en davantage sur le monitoring de l’intégrité et l’audit dans Microsoft Sentinel. Pour plus d’informations, consultez Audit et monitoring de l’intégrité dans Microsoft Sentinel.
Activer l’audit et le monitoring de l’intégrité pour votre espace de travail
Pour commencer, activez l’audit et le monitoring de l’intégrité à partir des paramètres Microsoft Sentinel.
Pour Microsoft Sentinel dans le portail Azure, sous Configuration, sélectionnez Paramètres>Paramètres.
Pour Microsoft Sentinel dans le portail Defender, sous Système, sélectionnez Paramètres>Microsoft Sentinel.Sélectionnez Audit et monitoring de l’intégrité.
Sélectionnez Activer pour activer l’audit et le monitoring de l’intégrité sur tous les types de ressources et pour envoyer les données d’audit et de monitoring vers votre espace de travail Microsoft Sentinel (et nulle part ailleurs).
Vous pouvez également sélectionner le lien Configurer les paramètres de diagnostic pour activer le monitoring de l’intégrité uniquement pour le collecteur de données et/ou les ressources d’automatisation, ou pour configurer des options avancées, par exemple des emplacements supplémentaires où envoyer les données.
Si vous avez sélectionné Activer, le bouton est grisé et son titre change en Activation... puis en Activé. L’audit et le monitoring de l’intégrité sont maintenant activés, et vous avez terminé ! Les paramètres de diagnostic appropriés ont été ajoutés de façon transparente. Vous pouvez les afficher et les modifier en sélectionnant le lien Configurer les paramètres de diagnostic.
Si vous avez sélectionné Configurer les paramètres de diagnostic, dans l’écran Paramètres de diagnostic, sélectionnez + Ajouter un paramètre de diagnostic.
(Si vous modifiez un paramètre existant, sélectionnez-le dans la liste des paramètres de diagnostic.)
Dans le champ Nom du paramètre de diagnostic, entrez un nom explicite pour votre paramètre.
Dans la colonne Journaux, sélectionnez les Catégories appropriées pour les types de ressources à monitorer, par exemple Collecte de données - Connecteurs. Sélectionnez allLogs si vous souhaitez surveiller les règles d’analytique.
Sous Détails de la destination, sélectionnez Envoyer à l’espace de travail Log Analytics, puis sélectionnez votre Abonnement et votre Espace de travail Log Analytics dans les menus déroulants.
Au besoin, vous pouvez sélectionner d’autres destinations vers lesquelles envoyer les données, en plus de l’espace de travail Log Analytics.
Sélectionnez Enregistrer dans la bannière supérieure pour enregistrer votre nouveau paramètre.
Les tables de données SentinelHealth et SentinelAudit sont créées quand le premier événement est généré pour les ressources sélectionnées.
Vérifier que les tables reçoivent des données
Exécutez des requêtes KQL (Langage de requête Kusto) dans le portail Azure ou le portail Defender pour vous assurer d’obtenir des données d’intégrité et d’audit.
Pour Microsoft Sentinel dans le Portail Azure, sous Général, sélectionnez Journaux.
Pour Microsoft Sentinel dans le portail Defender, sous Enquête et réponse, sélectionnez Repérage>Repérage avancé.Exécutez une requête sur la table SentinelHealth. Par exemple :
_SentinelHealth() | take 20Exécutez une requête sur la table SentinelAudit. Par exemple :
_SentinelAudit() | take 20
Tables de données et types de ressources pris en charge
Lorsque la fonctionnalité est activée, les tables de données SentinelHealth et SentinelAudit sont créées quand le premier événement est généré pour les ressources sélectionnées.
Le monitoring de l’intégrité de Microsoft Sentinel prend actuellement en charge les types de ressources suivants :
- Règles analytiques
- Connecteurs de données
- Règles d’automatisation
- Playbooks (workflows Azure Logic Apps)
Remarque
Lors du monitoring de l’intégrité des playbooks, vous devez également collecter les événements de diagnostic Azure Logic Apps à partir de vos playbooks afin d’obtenir une image complète de leur activité. Pour plus d’informations, consultez Surveiller l’intégrité de vos règles d’automatisation et playbooks.
Seul le type de ressource règle d’analytique est actuellement pris en charge pour l’audit.