Intégrer Azure Monitor à Google SecOps

Version de l'intégration : 1.0

Ce document explique comment intégrer Azure Monitor à Google Security Operations (Google SecOps).

Cas d'utilisation

L'intégration Azure Monitor peut répondre aux cas d'utilisation suivants :

  • Enrichissement et contexte des journaux : utilisez les fonctionnalités Google SecOps pour rechercher des journaux Azure Monitor (tels que les journaux d'activité Azure ou les événements de sécurité) lors d'un incident afin d'obtenir un contexte supplémentaire, de confirmer les activités suspectes ou d'identifier l'étendue d'une atteinte à la sécurité impliquant des ressources Azure.

  • Examiner les événements d'authentification Azure : utilisez les fonctionnalités Google SecOps pour interroger les journaux de connexion lorsqu'une adresse IP ou une entité utilisateur suspecte est identifiée. Vous pourrez ainsi récupérer rapidement toutes les tentatives d'authentification et l'historique des accès associés depuis Azure pour faciliter les enquêtes sur les comptes compromis.

  • Validation des configurations cloud incorrectes : utilisez les fonctionnalités Google SecOps pour exécuter des requêtes Kusto Query Language (KQL) spécifiques sur le journal d'activité Azure afin de vérifier les modifications récentes apportées aux groupes de sécurité réseau, aux règles de pare-feu ou aux configurations de services Azure clés qui ont pu déclencher une alerte.

Avant de commencer

Avant de configurer l'intégration dans la plate-forme Google SecOps, vérifiez que vous disposez des éléments suivants :

  • Enregistrement d'application Azure AD : application Azure Active Directory (Azure AD) disposant des autorisations nécessaires (par exemple, lecteur Log Analytics) pour accéder aux données de journaux, à partir de laquelle vous devez obtenir l'ID client et le code secret du client. Pour obtenir des instructions détaillées sur la configuration de cette application pour l'accès à l'API, consultez Accéder à l'API Azure Monitor Logs.

  • ID de locataire : identifiant unique de votre instance Azure Active Directory, requis pour effectuer le flux d'authentification OAuth 2.0.

  • ID de l'espace de travail Log Analytics : identifiant unique de l'espace de travail Azure Monitor Log Analytics spécifique à partir duquel l'intégration interroge les journaux. Pour savoir comment trouver l'ID de l'espace de travail, consultez Espaces de travail.

Paramètres d'intégration

L'intégration d'Azure Monitor nécessite les paramètres suivants :

Paramètre Description
Login API Root

Obligatoire.

Racine de l'API de connexion du service Azure Monitor.

La valeur par défaut est https://login.microsoftonline.com.
API Root

Obligatoire.

Racine de l'API du service Azure Monitor.

La valeur par défaut est https://api.loganalytics.io.
Tenant ID

Obligatoire.

ID de locataire du compte Azure Monitor.
Client ID

Obligatoire.

ID client du compte Azure Monitor.
Client Secret

Obligatoire.

Code secret du client du compte Azure Monitor.
Workspace ID

Obligatoire.

ID de l'espace de travail du compte Azure Monitor.
Verify SSL

Obligatoire.

Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Azure Monitor.

Cette option est activée par défaut.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente dans Votre bureau et Effectuer une action manuelle.

Ping

Utilisez l'action Ping pour tester la connectivité à Azure Monitor.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucune.

Sorties d'action

L'action Ping fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script. Disponible
Messages de sortie

L'action Ping peut renvoyer les messages de résultat suivants :

Message affiché Description du message

Successfully connected to the Azure Monitor server with the provided connection parameters!

 L'action a réussi.
Failed to connect to the Azure Monitor server! Error is ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :

Nom du résultat du script Valeur
is_success True ou False

Journaux de recherche

Utilisez l'action Rechercher dans les journaux pour exécuter des commandes KQL sur votre espace de travail Azure Monitor afin de récupérer des données de journaux spécifiques en fonction de la chaîne de requête fournie.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Journaux de recherche nécessite les paramètres suivants :

Paramètre Description
Workspace ID

Facultatif.

ID de l'espace de travail dans lequel effectuer la recherche.

Si aucune valeur n'est fournie, l'action utilise l'ID Workspace de la configuration de l'intégration.
Query

Obligatoire.

Requête (commande KQL) que l'action exécute sur les données de journalisation.
Time Frame

Facultatif.

Période de la requête.

Si Custom est sélectionné, vous devez également fournir Start Time.

Les valeurs possibles sont les suivantes :

  • Last Hour
  • Last 6 Hours
  • Last 24 Hours
  • Last Week
  • Last Month
  • Custom

La valeur par défaut est Last Hour.
Start Time

Facultatif.

Heure de début de la requête au format ISO 8601.

Ce paramètre est obligatoire si Custom est sélectionné dans Time Frame.
End Time

Facultatif.

Heure de fin de la requête au format ISO 8601.

Si Custom est sélectionné dans Time Frame et qu'aucune valeur n'est fournie, l'heure actuelle est utilisée.
Max Results To Return

Obligatoire.

Nombre maximal de résultats de recherche à renvoyer.

La valeur maximale est de 1000.

La valeur par défaut est 100.

Sorties d'action

L'action Rechercher dans les journaux fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script. Disponible
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Search Logs (Rechercher dans les journaux) :

[
 {
   "TimeGenerated": "2025-10-07T06:44:40.4570918Z",
   "OperationName": "Update datascanners"
 },
 {
   "TimeGenerated": "2025-10-07T06:44:41.1760472Z",
   "OperationName": "Update datascanners"
 },
]
Messages de sortie

L'action Search Logs (Rechercher dans les journaux) peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Successfully returned results for the query QUERY in Azure Monitor.

No results were found for the query QUERY in Azure Monitor.

 L'action a réussi.
Error executing action "Search Logs". Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Rechercher dans les journaux :

Nom du résultat du script Valeur
is_success True ou False

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.