Connecter des données à partir d’Azure Active Directory (Azure AD)Connect data from Azure Active Directory (Azure AD)

Azure Sentinel vous permet de collecter des données à partir d’Azure Active Directory et de les diffuser en continu vers Azure Sentinel.Azure Sentinel enables you to collect data from Azure Active Directory and stream it into Azure Sentinel. Vous pouvez choisir de diffuser les journaux de connexion et les journaux d’audit.You can choose to stream sign-in logs and audit logs .

PrérequisPrerequisites

  • Si vous souhaitez exporter des données de connexion à partir d’Azure AD, vous devez disposer d’une licence Azure AD P1 ou P2.If you want to export sign-in data from Azure AD, you must have an Azure AD P1 or P2 license.

  • Un utilisateur disposant des autorisations d’administrateur globale ou d’administrateur de la sécurité sur le locataire à partir duquel vous souhaitez diffuser les journaux.User with global admin or security admin permissions on the tenant you want to stream the logs from.

  • Pour afficher l’état de connexion, vous devez être autorisé à accéder aux journaux de diagnostic d’Azure AD.To be able to see the connection status, you must have permission to access Azure AD diagnostic logs.

Connexion à Azure Active DirectoryConnect to Azure Active Directory

  1. Dans Azure Sentinel, sélectionnez Connecteurs de données dans le menu de navigation.In Azure Sentinel, select Data connectors from the navigation menu.

  2. Dans la galerie des connecteurs de données, sélectionnez Azure Active Directory, puis cliquez sur le bouton Ouvrir la page du connecteur.From the data connectors gallery, select Azure Active Directory and then click the Open connector page button.

  3. Cochez les cases associées aux journaux que vous souhaitez diffuser dans Azure Sentinel, puis cliquez sur Se connecter.Mark the check boxes next to the logs you want to stream into Azure Sentinel, and click Connect.

  4. Vous pouvez indiquer si vous voulez que les alertes d’Azure AD génèrent automatiquement des incidents dans Azure Sentinel.You can select whether you want the alerts from Azure AD to automatically generate incidents in Azure Sentinel. Sous Créer des incidents, sélectionnez Activer pour activer la règle analytique par défaut qui crée automatiquement des incidents à partir des alertes générées dans le service de sécurité connecté.Under Create incidents select Enable to enable the default analytic rule that creates incidents automatically from alerts generated in the connected security service. Vous pouvez ensuite modifier cette règle sous Analytique, puis Règles actives.You can then edit this rule under Analytics and then Active rules.

  5. Pour utiliser le schéma approprié dans Log Analytics afin d’exécuter une requête pour les alertes Azure AD, saisissez SigninLogs ou AuditLogs dans la fenêtre de requête.To use the relevant schema in Log Analytics for querying Azure AD alerts, type SigninLogs or AuditLogs in the query window.

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter Azure Active Directory à Azure Sentinel.In this document, you learned how to connect Azure Active Directory to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: