Accéder aux journaux d’activité Microsoft Graph

Les journaux d’activité Microsoft Graph sont une piste d’audit de toutes les requêtes HTTP reçues et traitées par le service Microsoft Graph pour un locataire. Les administrateurs clients peuvent activer la collecte et configurer les destinations en aval pour ces journaux à l’aide des paramètres de diagnostic dans Azure Monitor. Les journaux sont stockés dans Log Analytics à des fins d’analyse ; vous pouvez les exporter vers stockage Azure pour un stockage à long terme ou les diffuser en continu avec Azure Event Hubs vers des outils SIEM externes pour les alertes, l’analyse ou l’archivage.

Tous les journaux des demandes d’API effectuées à partir d’applications métier, de clients d’API, de kits de développement logiciel (SDK) et d’applications Microsoft telles qu’Outlook, Microsoft Teams ou le centre d’administration Microsoft Entra sont disponibles.

Ce service est disponible dans les déploiements de cloud national suivants.

Service global	Gouvernement des États-Unis L4	Us Government L5 (DOD)	Chine gérée par 21Vianet
✅	✅	✅	❌

Configuration requise

Pour accéder aux journaux d’activité Microsoft Graph, vous avez besoin des privilèges suivants.

• Une licence de locataire Microsoft Entra ID P1 ou P2 dans votre locataire.
• Administrateur disposant d’un rôle d’administrateur Microsoft Entra pris en charge. Administrateur de sécurité est le seul rôle d’administrateur le moins privilégié pris en charge pour la configuration des paramètres de diagnostic.
• Un abonnement Azure avec l’une des destinations de journaux suivantes est configuré et des autorisations pour accéder aux données dans les destinations de journal correspondantes.
  • Un espace de travail Azure Log Analytics pour envoyer des journaux à Azure Monitor
  • Un compte de stockage Azure pour lequel vous disposez des autorisations List Keys
  • Espace de noms Azure Event Hubs à intégrer à des solutions tierces

Quelles sont les données disponibles dans les journaux d’activité Microsoft Graph ?

Pour plus d’informations sur les données disponibles relatives aux demandes d’API pour les journaux d’activité Microsoft Graph sur l’interface Logs Analytics, consultez Informations de référence sur les journaux Azure Monitor.

Cas d’usage courants pour les journaux d’activité Microsoft Graph

• Bénéficiez d’une visibilité complète des transactions effectuées par les applications et autres clients API auxquels vous avez donné votre consentement dans le locataire.
• Identifiez les activités effectuées par un compte d’utilisateur compromis dans votre locataire.
• Créez des détections et une analyse comportementale pour identifier l’utilisation suspecte ou anormale des API Microsoft Graph.
• Examiner l’attribution de privilèges inattendue ou suspecte d’autorisations d’application.
• Identifiez les comportements problématiques ou inattendus pour les applications clientes telles que les volumes d’appels extrêmes.
• Mettez en corrélation les demandes Microsoft Graph effectuées par un utilisateur ou une application avec les informations de connexion.

Configurer pour recevoir les journaux d’activité Microsoft Graph

Vous pouvez configurer pour diffuser les journaux via le paramètre de diagnostic dans le Portail Azure ou via les API Azure Resource Manager. Pour plus d’informations, consultez les conseils fournis dans les articles suivants :

• Intégrer les journaux d’activité aux journaux Azure Monitor
• Configurer diagnosticSettings via l’API Azure Resource Manager

Les articles suivants vous guident pour configurer les destinations de stockage :

• Espace de travail Azure Log Analytics
• Stockage Azure
• Azure Event Hubs

Estimations de la planification des coûts

Si vous disposez déjà d’une licence Microsoft Entra ID P1, vous avez besoin d’un abonnement Azure pour configurer l’espace de travail Log Analytics, le compte de stockage ou Event Hubs. L’abonnement Azure est gratuit, mais vous devez payer pour utiliser des ressources Azure.

La quantité de données enregistrées et, par conséquent, le coût induit peuvent varier considérablement en fonction de la taille du locataire et des applications de votre locataire qui interagissent avec les API Microsoft Graph. Le tableau suivant fournit des estimations de la taille des données de journal pour faciliter le calcul du prix. Utilisez ces estimations à des fins générales uniquement.

Utilisateurs dans le locataire	Gio de stockage/mois	Messages Event Hubs/mois	Journaux Azure Monitor Gio/mois
1000	14	62 Ko	15
100000	1000	4,8 M	1200

Consultez les calculs de tarification suivants pour les services respectifs :

• Détails des tarifs Log Analytics
• Tarification du stockage Azure
• Tarification d’Event Hubs

Réduction des coûts pour Log Analytics

Si vous ingérez les journaux dans un espace de travail Log Analytics, mais que vous vous intéressez uniquement aux journaux filtrés par des critères, tels que l’omission de certaines colonnes ou lignes, vous pouvez réduire partiellement les coûts en appliquant une transformation d’espace de travail sur la table Journaux d’activité Microsoft Graph. Pour en savoir plus sur les transformations d’espace de travail, leur impact sur les coûts d’ingestion et l’application d’une transformation à vos journaux d’activité Microsoft Graph, consultez Transformations de collecte de données dans Azure Monitor.

Une autre approche pour réduire les coûts Log Analytics consiste à passer au plan de données de journal de base, qui réduit les factures en offrant des fonctionnalités réduites. Pour plus d’informations, consultez Définir le plan de données de journal d’une table sur De base ou Analytique.

Exemples de requêtes journaux Azure Monitor

Si vous envoyez des journaux d’activité Microsoft Graph à un espace de travail Log Analytics, vous pouvez interroger les journaux à l’aide de Langage de requête Kusto (KQL). Pour plus d’informations sur les requêtes dans l’espace de travail Log Analytics, consultez Analyser Microsoft Entra journaux d’activité avec Log Analytics. Vous pouvez utiliser ces requêtes pour l’exploration des données, pour créer des règles d’alerte, créer des tableaux de bord Azure ou les intégrer à vos applications personnalisées à l’aide de l’API Journaux Azure Monitor ou du KIT de développement logiciel (SDK) de requête.

La requête Kusto suivante identifie les 20 principales entités qui effectuent des requêtes à des groupes de ressources qui échouent en raison d’une autorisation :

MicrosoftGraphActivityLogs
| where TimeGenerated >= ago(3d)
| where ResponseStatusCode == 401 or ResponseStatusCode == 403 
| where RequestUri contains "/groups"
| summarize UniqueRequests=count_distinct(RequestId) by AppId, ServicePrincipalId, UserId
| sort by UniqueRequests desc
| limit 20

La requête Kusto suivante identifie les ressources interrogées ou modifiées par les utilisateurs potentiellement à risque :

MicrosoftGraphActivityLogs
| where TimeGenerated > ago(30d)
| join AADRiskyUsers on $left.UserId == $right.Id
| extend resourcePath = replace_string(replace_string(replace_regex(tostring(parse_url(RequestUri).Path), @'(\/)+','/'),'v1.0/',''),'beta/','')
| summarize RequestCount=dcount(RequestId) by UserId, RiskState, resourcePath, RequestMethod, ResponseStatusCode

La requête Kusto suivante vous permet de mettre en corrélation les journaux d’activité microsoft Graph et les journaux de connexion. Les journaux d’activité des applications Microsoft n’ont peut-être pas tous des entrées de journal de connexion correspondantes. Pour plus d’informations, consultez Limitations connues des journaux de connexion.

MicrosoftGraphActivityLogs
| where TimeGenerated > ago(7d)
| join kind=leftouter (union SigninLogs, AADNonInteractiveUserSignInLogs, AADServicePrincipalSignInLogs, AADManagedIdentitySignInLogs, ADFSSignInLogs
    | where TimeGenerated > ago(7d))
    on $left.SignInActivityId == $right.UniqueTokenIdentifier

La requête Kusto suivante identifie les applications qui sont limitées :

MicrosoftGraphActivityLogs 
| where TimeGenerated > ago(3d) 
| where ResponseStatusCode == 429 
| extend path = replace_string(replace_string(replace_regex(tostring(parse_url(RequestUri).Path), @'(\/)+','//'),'v1.0/',''),'beta/','') 
| extend UriSegments =  extract_all(@'\/([A-z2]+|\$batch)($|\/|\(|\$)',dynamic([1]),tolower(path)) 
| extend OperationResource = strcat_array(UriSegments,'/')| summarize RateLimitedCount=count() by AppId, OperationResource, RequestMethod 
| sort by RateLimitedCount desc 
| limit 100 

La requête suivante vous permet d’afficher un graphique de série chronologique :

MicrosoftGraphActivityLogs 
| where TimeGenerated  between (ago(3d) .. ago(1h))  
| summarize EventCount = count() by bin(TimeGenerated, 10m) 
| render timechart 
    with ( 
    title="Recent traffic patterns", 
    xtitle="Time", 
    ytitle="Requests", 
    legend=hidden 
    )

Limitations

• La fonctionnalité journaux d’activité Microsoft Graph permet aux administrateurs du locataire de collecter des journaux pour le locataire de ressource. Cette fonctionnalité ne vous permet pas de voir les activités d’une application multilocataire dans un autre locataire.
• Vous ne pouvez pas filtrer les journaux d’activité Microsoft Graph via les paramètres de diagnostic dans Azure Monitor. Toutefois, des options sont disponibles pour réduire les coûts dans l’espace de travail Azure Log Analytics. Pour plus d’informations, consultez Transformation de l’espace de travail.
• Dans la plupart des régions, les événements sont disponibles et remis à la destination de configuration dans les 30 minutes. Dans des cas moins courants, la livraison de certains événements à la destination peut prendre jusqu’à 2 heures.

Contenu connexe

• Référence Azure Monitor : MicrosoftGraphActivityLogs
• Stream des données d’Azure Monitor à un hub d’événements ou à un partenaire externe