Connecter des données à partir de Azure Active DirectoryConnect data from Azure Active Directory

Azure Sentinel vous permet de collecter des données à partir d’Azure Active Directory et de les diffuser en continu vers Azure Sentinel.Azure Sentinel enables you to collect data from Azure Active Directory and stream it into Azure Sentinel. Vous pouvez choisir de diffuser les journaux de connexion et les journaux d’audit.You can choose to stream sign-in logs and audit logs .

PrérequisPrerequisites

  • Si vous souhaitez exporter des données de connexion à partir d’Active Directory, vous devez disposer d’une licence Azure AD P1 ou P2.If you want to export sign-in data from Active Directory, you must have an Azure AD P1 or P2 license.

  • Un utilisateur disposant des autorisations d’administrateur globale ou d’administrateur de la sécurité sur le locataire à partir duquel vous souhaitez diffuser les journaux.User with global admin or security admin permissions on the tenant you want to stream the logs from.

  • Pour afficher l’état de connexion, vous devez être autorisé à accéder aux journaux de diagnostic d’Azure AD.To be able to see the connection status, you must have permission to access Azure AD diagnostic logs.

Se connecter à Azure ADConnect to Azure AD

  1. Dans Azure Sentinel, sélectionnez Connecteurs de données puis cliquez sur la vignette du Azure Active Directory.In Azure Sentinel, select Data connectors and then click the Azure Active Directory tile.

  2. À côté des journaux que vous souhaitez diffuser dans Azure Sentinel, cliquez sur Se connecter.Next to the logs you want to stream into Azure Sentinel, click Connect.

  3. Vous pouvez décider que les alertes d’Azure AD génèrent automatiquement des incidents dans Azure Sentinel.You can select whether you want the alerts from Azure AD to automatically generate incidents in Azure Sentinel automatically. Sous Créer des incidents, sélectionnez Activer pour activer la règle analytique par défaut qui crée automatiquement des incidents à partir des alertes générées dans le service de sécurité connecté.Under Create incidents select Enable to enable the default analytic rule that creates incidents automatically from alerts generated in the connected security service. Vous pouvez ensuite modifier cette règle sous Analytique, puis Règles actives.You can then edit this rule under Analytics and then Active rules.

  4. Pour utiliser le schéma pertinent dans Log Analytics pour les alertes Azure AD, recherchez SigninLogs et AuditLogs.To use the relevant schema in Log Analytics for the Azure AD alerts, search for SigninLogs and AuditLogs.

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter Azure AD à Azure Sentinel.In this document, you learned how to connect Azure AD to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: