Connecter des données de journaux Office 365Connect data from Office 365 Logs

Vous pouvez diffuser des journaux d’audit dans Azure Sentinel en un seul clic à partir d’Office 365.You can stream audit logs from Office 365 into Azure Sentinel with a single click. Vous pouvez diffuser des journaux d’audit dans un espace de travail unique d’Azure Sentinel à partir de plusieurs locataires.You can stream audit logs from multiple tenants to a single workspace in Azure Sentinel. Le connecteur de journal d’activité Office 365 fournit des informations sur les activités de l’utilisateur en cours.The Office 365 activity log connector provides insight into ongoing user activities. Vous obtenez des informations sur plusieurs actions utilisateur, administrateur, système et de stratégie et d’événements d’Office 365.You will get information about various user, admin, system, and policy actions and events from Office 365. En connectant les journaux d’activité d’Office 365 dans Azure Sentinel, vous pouvez utiliser ces données pour afficher des tableaux de bord, créer des alertes personnalisées et améliorer votre processus d’investigation.By connecting Office 365 logs into Azure Sentinel you can use this data to view dashboards, create custom alerts, and improve your investigation process.

Important

Si vous disposez d’une licence E3, avant de pouvoir accéder aux données par le biais de l’API d’activité de gestion Office 365, vous devez activer la journalisation d’audit unifiée pour votre organisation Office 365.If you have an E3 license, before you can access data through the Office 365 Management Activity API, you must enable unified audit logging for your Office 365 organization. Pour ce faire, activez le journal d’audit Office 365.You do this by turning on the Office 365 audit log. Pour obtenir des instructions, voir Activer ou désactiver la recherche dans un journal d’audit Office 365.For instructions, see Turn Office 365 audit log search on or off. Pour en savoir plus, consultez la section Référence de l’API Activité de gestion Office 365.See Office 365 management Activity API reference, for more information.

PrérequisPrerequisites

  • Vous devez être un administrateur général ou un administrateur de la sécurité sur ce locataireYou must be a global administrator or security administrator on your tenant
  • Sur votre ordinateur, à partir duquel vous vous êtes connecté à Azure Sentinel pour créer la connexion, assurez-vous que le port 4433 est ouvert pour le trafic web.On your computer, from which you logged into Azure Sentinel to create the connection, make sure that port 4433 is open to web traffic. Ce port peut être refermé une fois la connexion établie.This port can be closed again after the connection is successfully made.
  • Si votre locataire ne dispose pas d’une licence Office 365 E3 ou Office 365 E5, vous devez activer l’audit unifié pour celui-ci à l’aide de l’un des processus suivants :If your tenant does not have an Office 365 E3 or Office 365 E5 license, you must enable unified auditing on your tenant using one of these processes:

Connexion à Office 365Connect to Office 365

  1. Dans Azure Sentinel, sélectionnez Connecteurs de données puis cliquez sur la vignette Office 365.In Azure Sentinel, select Data connectors and then click the Office 365 tile.

  2. Si vous ne l’avez pas déjà fait, sous connexion, utilisez le bouton Activer pour activer la solution Office 365.If you have not already enabled it, under Connection use the Enable button to enable the Office 365 solution. Si elle a déjà été activée, elle est identifiée dans l’écran de connexion comme étant déjà activée.If it was already enabled, it will be identified in the connection screen as already enabled.

  3. Office 365 vous permet de diffuser des données dans Azure Sentinel à partir de plusieurs locataires.Office 365 enables you to stream data from multiple tenants to Azure Sentinel. Pour chaque locataire auquel vous souhaitez vous connecter, ajoutez le locataire sous Connect tenants to Azure Sentinel (Connecter des locataires à Azure Sentinel).For each tenant you want to connect to, add the tenant under Connect tenants to Azure Sentinel.

  4. Un écran Active Directory s’ouvre.An Active Directory screen opens. Vous êtes invité à vous authentifier avec un utilisateur administrateur général sur chaque locataire que vous souhaitez connecter à Azure Sentinel, et à fournir des autorisations sur Azure Sentinel pour lire ses journaux.You are prompted to authenticate with a global admin user on each tenant you want to connect to Azure Sentinel, and provide permissions to Azure Sentinel to read its logs.

  5. Sous les journaux d’activité Office 365, cliquez sur Sélectionner pour choisir les types de journaux que vous souhaitez diffuser en continu dans Azure Sentinel.Under Stream Office 365 activity logs, click Select to choose which log types you want to stream to Azure Sentinel. Azure Sentinel prend actuellement en charge Exchange et SharePoint.Currently, Azure Sentinel supports Exchange and SharePoint.

  6. Cliquez sur Appliquer les modifications.Click Apply changes.

  7. Pour utiliser le schéma pertinent dans Log Analytics pour les journaux d’activité Office 365, recherchez OfficeActivity.To use the relevant schema in Log Analytics for the Office 365 logs, search for OfficeActivity.

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter Office 365 à Azure Sentinel.In this document, you learned how to connect Office 365 to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: