Collecter les journaux d'activité Microsoft Azure et Entra ID

Compatible avec :

Ce document explique comment collecter les journaux d'activité Microsoft Azure et Entra ID en configurant des flux Google Security Operations à l'aide de Microsoft Azure Blob Storage.

Les journaux d'activité Azure fournissent des informations sur les opérations au niveau de l'abonnement effectuées sur les ressources Azure, comme la création de comptes de stockage, la suppression de hubs d'événements ou la modification de machines virtuelles. Les journaux Microsoft Entra ID (anciennement Azure Active Directory) enregistrent les événements de gestion des identités et des accès, y compris les connexions des utilisateurs, les journaux d'audit, les activités de provisionnement et les détections de risques de sécurité.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Une instance Google SecOps
  • Accès privilégié au portail Microsoft Azure avec les autorisations suivantes :
    • Créer des comptes de stockage
    • Configurer les paramètres de diagnostic pour Azure Monitor et Entra ID
    • Gérer les clés d'accès
  • Rôle d'administrateur de la sécurité ou supérieur dans Entra ID (pour les paramètres de diagnostic Entra ID)

Configurer un compte de stockage Azure

Créer un compte de stockage

  1. Dans le portail Azure, recherchez Comptes de stockage.
  2. Cliquez sur + Créer.

  3. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Abonnement Sélectionnez votre abonnement Azure.
    Groupe de ressources Sélectionner une base de données existante ou en créer une
    Nom du compte de stockage Saisissez un nom unique (par exemple, secops-azure-logs).
    Région Sélectionnez la région (par exemple, East US).
    Performances Standard (recommandé)
    Redondance GRS (stockage géoredondant) ou LRS (stockage local redondant)

  4. Cliquez sur Examiner et créer.

  5. Passez en revue l'aperçu du compte, puis cliquez sur Créer.

  6. Attendez la fin du déploiement.

Obtenir les identifiants du compte de stockage

  1. Accédez au compte de stockage que vous venez de créer.
  2. Dans le volet de navigation de gauche, sélectionnez Clés d'accès sous Sécurité et mise en réseau.
  3. Cliquez sur Afficher les clés.
  4. Copiez et enregistrez les éléments suivants pour une utilisation ultérieure :
    • Nom du compte de stockage : nom de votre compte de stockage (par exemple, secops-azure-logs)
    • Clé 1 ou Clé 2 : clé d'accès partagée (chaîne aléatoire de 512 bits encodée en base64)

Obtenir le point de terminaison du service Blob

  1. Dans le même compte de stockage, sélectionnez Points de terminaison dans le panneau de navigation de gauche.
  2. Copiez et enregistrez l'URL du point de terminaison Blob service.
    • Exemple : https://secops-azure-logs.blob.core.windows.net/

Configurer les paramètres de diagnostic des journaux d'activité Azure

Pour exporter les journaux d'activité Azure vers le compte de stockage :

  1. Dans le portail Azure, recherchez Surveillance.
  2. Cliquez sur Journal d'activité dans le panneau de navigation de gauche.
  3. Cliquez sur Exporter les journaux d'activité en haut de la fenêtre.
  4. Cliquez sur Ajouter un paramètre de diagnostic.
  5. Fournissez les informations de configuration suivantes :
    • Nom du paramètre de diagnostic : saisissez un nom descriptif (par exemple, activity-logs-to-secops).
    • Dans la section Journaux, sélectionnez les catégories suivantes :
      • Administration
      • Sécurité
      • État du service
      • Alerte
      • Recommandation
      • Règle
      • Autoscaling
      • Santé des ressources
    • Dans la section Détails de la destination, cochez la case Archiver dans un compte de stockage.
    • Abonnement : sélectionnez l'abonnement contenant votre compte de stockage.
    • Compte de stockage : sélectionnez le compte de stockage que vous avez créé précédemment (par exemple, secops-azure-logs).
  6. Cliquez sur Enregistrer.

Configurer les paramètres de diagnostic Entra ID

Pour exporter les journaux Entra ID vers le compte de stockage :

  1. Dans le portail Azure, recherchez Microsoft Entra ID ou Azure Active Directory.
  2. Dans le panneau de navigation de gauche, accédez à Surveillance et état > Paramètres de diagnostic.
  3. Cliquez sur Ajouter un paramètre de diagnostic.
  4. Fournissez les informations de configuration suivantes :
    • Nom du paramètre de diagnostic : saisissez un nom descriptif (par exemple, entraid-logs-to-secops).
    • Dans la section Journaux, sélectionnez les catégories de journaux que vous souhaitez exporter :
      • SignInLogs : connexions utilisateur interactives
      • NonInteractiveUserSignInLogs : connexions utilisateur non interactives (principaux de service, identités gérées agissant au nom des utilisateurs)
      • ServicePrincipalSignInLogs : connexions des principaux de service et des applications
      • ManagedIdentitySignInLogs : connexions avec une identité gérée
      • AuditLogs : trace d'audit de toutes les modifications apportées à Entra ID (création d'utilisateurs, attribution de rôles, etc.)
      • ProvisioningLogs : événements de provisionnement d'utilisateurs et de groupes
      • RiskyUsers : utilisateurs signalés par Identity Protection
      • UserRiskEvents : détections de risques pour les comptes utilisateur
      • MicrosoftGraphActivityLogs : journaux d'activité de l'API Microsoft Graph
    • Dans la section Détails de la destination, cochez la case Archiver dans un compte de stockage.
    • Abonnement : sélectionnez l'abonnement contenant votre compte de stockage.
    • Compte de stockage : sélectionnez le compte de stockage que vous avez créé précédemment (par exemple, secops-azure-logs).

  5. Cliquez sur Enregistrer.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre stockage Blob Azure. Vous devez accorder à ce compte de service l'accès à votre compte de stockage.

Obtenir l'adresse e-mail du compte de service

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Cliquez sur Configurer un flux unique.
  4. Dans le champ Nom du flux, saisissez un nom temporaire.
  5. Sélectionnez Microsoft Azure Blob Storage V2 comme Type de source.
  6. Sélectionnez un type de journal (vous pourrez le modifier ultérieurement).

  7. Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

  9. Cliquez sur Annuler pour quitter la création de flux (vous créerez les flux réels plus tard).

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps doit disposer du rôle Lecteur des données Blob Storage sur votre compte de stockage.

  1. Dans le portail Azure, accédez à Comptes de stockage.
  2. Cliquez sur le nom de votre compte de stockage (par exemple, secops-azure-logs).
  3. Accédez à l'onglet Contrôle d'accès (IAM).
  4. Cliquez sur + Ajouter > Ajouter une attribution de rôle.
  5. Dans l'onglet Rôle, recherchez et sélectionnez Lecteur des données blob de stockage.
  6. Cliquez sur Suivant.
  7. Dans l'onglet Membres, cliquez sur + Sélectionner des membres.
  8. Dans le champ de recherche, collez l'adresse e-mail du compte de service Google SecOps.
  9. Sélectionnez le compte de service dans les résultats.
  10. Cliquez sur Sélectionner.
  11. Cliquez sur Examiner et attribuer.
  12. Vérifiez l'attribution, puis cliquez à nouveau sur Vérifier et attribuer.

Configurer des flux dans Google SecOps

Vous devez créer un flux distinct pour chaque type de journal et chaque conteneur. Le tableau suivant présente la correspondance entre les conteneurs Azure et les types de journaux Google SecOps :

Nom du conteneur Type de journal Chronicle Source de données
insights-activity-logs Activité Azure Journaux d'activité Azure
insights-logs-signinlogs Azure AD Connexions interactives Entra ID
insights-logs-noninteractiveusersigninlogs Azure AD Connexions non interactives Entra ID
insights-logs-serviceprincipalsigninlogs Azure AD Connexions du compte principal de service Entra ID
insights-logs-managedidentitysigninlogs Azure AD Connexions avec identité gérée Entra ID
insights-logs-auditlogs Audit Azure AD Journaux d'audit Entra ID
insights-logs-provisioninglogs Azure AD Journaux de provisionnement Entra ID
insights-logs-riskyusers Azure AD Utilisateurs à risque Entra ID
insights-logs-userriskevents Azure AD Événements de risque utilisateur Entra ID
insights-logs-microsoftgraphactivitylogs Journaux d'activité Microsoft Graph Activité Microsoft Graph

Créer un flux pour les journaux d'activité Azure

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez Azure Activity Logs.
  5. Sélectionnez Microsoft Azure Blob Storage V2 comme Type de source.
  6. Sélectionnez Azure Activity (Activité Azure) comme Type de journal.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URI Azure : saisissez l'URL du point de terminaison du service Blob avec le chemin d'accès au conteneur :

       https://secops-azure-logs.blob.core.windows.net/insights-activity-logs/
      • Remplacez secops-azure-logs par le nom de votre compte de stockage Azure.

    • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

      • Jamais : ne supprime jamais aucun fichier après les transferts.
      • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.

      • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

    • Clé partagée : saisissez la valeur de la clé partagée (clé d'accès) que vous avez récupérée précédemment à partir du compte de stockage.

    • Espace de noms de l'élément : espace de noms de l'élément.

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Créer des flux pour les journaux Entra ID

Répétez les étapes suivantes pour chaque type de journal Entra ID que vous avez configuré dans les paramètres de diagnostic :

Pour les journaux de connexion interactifs :

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Cliquez sur Configurer un flux unique.
  4. Dans le champ Nom du flux, saisissez Azure AD Interactive Sign-in Logs.
  5. Sélectionnez Microsoft Azure Blob Storage V2 comme Type de source.
  6. Sélectionnez Azure AD comme Type de journal.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URI Azure :

      https://secops-azure-logs.blob.core.windows.net/insights-logs-signinlogs/
    • Option de suppression de la source : sélectionnez l'option de votre choix.
    • Âge maximal du fichier : 180 jours (par défaut).
    • Clé partagée : saisissez la valeur de la clé partagée.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé à appliquer.

  9. Cliquez sur Suivant, puis sur Envoyer.

Pour les journaux de connexion non interactive :

Créez un autre flux avec les paramètres suivants :

  • Nom du flux : Azure AD Non-interactive Sign-in Logs
  • Type de journal : Azure AD
  • URI Azure : https://secops-azure-logs.blob.core.windows.net/insights-logs-noninteractiveusersigninlogs/

Pour les journaux de connexion du principal de service :

Créez un autre flux avec les paramètres suivants :

  • Nom du flux : Azure AD Service Principal Sign-in Logs
  • Type de journal : Azure AD
  • URI Azure : https://secops-azure-logs.blob.core.windows.net/insights-logs-serviceprincipalsigninlogs/

Pour les journaux de connexion des identités gérées :

Créez un autre flux avec les paramètres suivants :

  • Nom du flux : Azure AD Managed Identity Sign-in Logs
  • Type de journal : Azure AD
  • URI Azure : https://secops-azure-logs.blob.core.windows.net/insights-logs-managedidentitysigninlogs/

Pour les journaux d'audit :

Créez un autre flux avec les paramètres suivants :

  • Nom du flux : Azure AD Audit Logs
  • Type de journal : Azure AD Audit
  • URI Azure : https://secops-azure-logs.blob.core.windows.net/insights-logs-auditlogs/

Pour les journaux de provisionnement :

Créez un autre flux avec les paramètres suivants :

  • Nom du flux : Azure AD Provisioning Logs
  • Type de journal : Azure AD
  • URI Azure : https://secops-azure-logs.blob.core.windows.net/insights-logs-provisioninglogs/

Pour les utilisateurs à risque :

Créez un autre flux avec les paramètres suivants :

  • Nom du flux : Azure AD Risky Users
  • Type de journal : Azure AD
  • URI Azure : https://secops-azure-logs.blob.core.windows.net/insights-logs-riskyusers/

Pour les événements liés aux risques utilisateur :

Créez un autre flux avec les paramètres suivants :

  • Nom du flux : Azure AD User Risk Events
  • Type de journal : Azure AD
  • URI Azure : https://secops-azure-logs.blob.core.windows.net/insights-logs-userriskevents/

Pour les journaux d'activité Microsoft Graph :

Créez un autre flux avec les paramètres suivants :

  • Nom du flux : Microsoft Graph Activity Logs
  • Type de journal : Microsoft Graph Activity Logs
  • URI Azure : https://secops-azure-logs.blob.core.windows.net/insights-logs-microsoftgraphactivitylogs/

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.