Partager via


Analyser les journaux d’activité Microsoft Entra avec Log Analytics

Une fois que vous avez intégré les journaux d’activité Microsoft Entra aux journaux Azure Monitor, vous pouvez tirer parti de la puissance de Log Analytics et des journaux Azure Monitor pour obtenir des insights de votre environnement.

  • Comparez vos journaux de connexion Microsoft Entra aux journaux de sécurité publiés par Microsoft Defender pour le cloud.

  • Résoudre les goulots d’étranglement de performances sur la page de connexion de votre application en mettant en corrélation les données de performances d’application à partir d’Azure Application Insights.

  • Analyser les utilisateur à risque en matière de protection d’identité et les journaux d'activité de détection de risque pour détecter les menaces dans votre environnement.

Cet article explique comment analyser les journaux d’activité Microsoft Entra dans votre espace de travail Log Analytics.

Prérequis

Pour analyser les journaux d’activité avec Log Analytics, vous avez besoin des éléments suivants :

  • Un locataire Microsoft Entra opérationnel avec une licence Microsoft Entra ID P1 ou P2 associée.
  • D’un espace de travail Log Analytics et d’un accès à cet espace de travail
  • Les rôles appropriés pour Azure Monitor et Microsoft Entra ID

Espace de travail Log Analytics

Vous devez créer un espace de travail Log Analytics. Plusieurs facteurs déterminent l'accès aux espaces de travail Log Analytics. Vous avez besoin des rôles appropriés pour l’espace de travail et les ressources qui envoient les données.

Pour plus d’informations, consultez Gérer l’accès aux espaces de travail Log Analytics.

Rôles Azure Monitor

Azure Monitor fournit deux rôles intégrés pour l’affichage des données de surveillance et la modification des paramètres de supervision. Le contrôle d’accès en fonction du rôle (RBAC) Azure fournit également deux rôles Log Analytics intégrés qui accordent un accès similaire.

  • Affichage :

    • Lecteur d’analyse
    • Lecteur Log Analytics
  • Afficher et modifier les paramètres :

    • Contributeur d’analyse
    • Contributeur Log Analytics

Pour plus d’informations sur les rôles intégrés Azure Monitor, consultez Rôles, autorisations et sécurité dans Azure Monitor.

Pour plus d’informations sur les rôles Log Analytics, consultez Rôles intégrés Azure

Rôles Microsoft Entra

L'accès en lecture seule vous permet d'afficher les données du journal Microsoft Entra ID dans un classeur, d'interroger les données de Log Analytics ou de lire les journaux dans le centre d'administration Microsoft Entra. L'accès aux mises à jour ajoute la possibilité de créer et de modifier des paramètres de diagnostic pour envoyer des données Microsoft Entra à un espace de travail Log Analytics.

  • Lecture :

    • Lecteur de rapports
    • Lecteur de sécurité
    • Lecteur général
  • Mettre à jour :

    • Administrateur de la sécurité

Pour plus d'informations sur les rôles intégrés Microsoft Entra, voir Rôles intégrés Microsoft Entra.

Accéder à Log Analytics

Pour voir Microsoft Entra ID Log Analytics, vous devez déjà envoyer vos journaux d’activité de Microsoft Entra ID à un espace de travail Log Analytics. Ce processus est abordé dans l’article Comment intégrer des journaux d’activité à Azure Monitor.

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

  1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.

  2. Accédez à Identité>Surveillance et intégrité>Log Analytics. Une requête de recherche par défaut s’exécute.

    Requête par défaut

  3. Développez la catégorie LogManagement pour afficher la liste des requêtes liées au journal.

  4. Sélectionnez ou pointez sur le nom d’une requête pour afficher une description et d’autres détails utiles.

  5. Développez une requête à partir de la liste pour afficher le schéma.

    Capture d’écran du schéma d’une requête.

Interroger les journaux d’activité

Vous pouvez exécuter des requêtes sur les journaux d’activité routés vers un espace de travail Log Analytics. Par exemple, pour obtenir une liste des applications ayant le plus de connexions de la semaine dernière, entrez la requête suivante et cliquez sur le bouton Exécuter.

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc 

Pour rechercher des événements de connexion risqués, utilisez la requête suivante :

SigninLogs
| where RiskState contains "atRisk"

Pour obtenir les principaux événements d’audit générés la semaine dernière, utilisez la requête suivante :

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Pour résumer le nombre d’événements d’approvisionnement par jour, par action :

AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)

Prenez 100 événements d’approvisionnement et projetez les propriétés clés :

AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100