Activer l’audit et le monitoring de l’intégrité dans Microsoft Sentinel (préversion)

Auditez et surveillez l’intégrité des ressources Microsoft Sentinel prises en charge en activant la fonctionnalité d’audit et de monitoring de l’intégrité dans la page Paramètres de Microsoft Sentinel. Obtenez des insights sur les dérives d’intégrité (comme les derniers événements d’échec, les changements d’état de réussite à échec, et les actions non autorisées), puis utilisez ces informations pour créer des notifications et d’autres actions automatisées.

Pour obtenir des données d’intégrité à partir de la table de données SentinelHealth, ou des informations d’audit à partir de la table de données SentinelAudit, vous devez d’abord activer la fonctionnalité d’audit et de surveillance de l’intégrité dans Microsoft Sentinel pour votre espace de travail.

Cet article vous explique comment activer ces fonctionnalités.

Pour implémenter la fonctionnalité intégrité et audit à l’aide de l’API (Bicep/ARM/REST), examinez les opérations de paramétrage du diagnostic.

Pour configurer la durée de conservation des événements d’audit et d’intégrité, consultez Configurer des stratégies d’archivage et de conservation des données dans les journaux Azure Monitor.

Important

Les tables de données SentinelHealth et SentinelAudit sont actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Tables de données et types de ressource

Lorsque la fonctionnalité est activée, les tables de données SentinelHealth et SentinelAudit sont créées quand le premier événement est généré pour les ressources sélectionnées.

Les types de ressources suivants sont actuellement pris en charge pour le monitoring de l’intégrité :

• Règles d’analytique (nouveau)
• Connecteurs de données
• Règles d’automatisation
• Playbooks (workflows Azure Logic Apps)

  Remarque

  Lors du monitoring de l’intégrité des playbooks, vous devez également collecter les événements de diagnostic Azure Logic Apps à partir de vos playbooks afin d’obtenir une image complète de leur activité. Pour plus d’informations, consultez Monitorer l’intégrité de vos règles d’automatisation et playbooks.

Seul le type de ressource règle d’analytique est actuellement pris en charge pour l’audit.

Activer l’audit et le monitoring de l’intégrité pour votre espace de travail

1. Dans Microsoft Sentinel, sous le menu Configuration à gauche, sélectionnez Paramètres.

2. Sélectionnez Paramètres dans la bannière.

3. Faites défiler jusqu’à la section Audit et monitoring de l’intégrité qui s’affiche en dessous, puis sélectionnez-la pour la développer.

4. Sélectionnez Activer pour activer l’audit et le monitoring de l’intégrité sur tous les types de ressources et pour envoyer les données d’audit et de monitoring vers votre espace de travail Microsoft Sentinel (et nulle part ailleurs).

   Ou alors sélectionnez le lien Configurer les paramètres de diagnostic pour activer le monitoring de l’intégrité uniquement pour le collecteur de données et/ou les ressources d’automatisation, ou pour configurer des options avancées, par exemple des emplacements supplémentaires où envoyer les données.

   

   Si vous avez sélectionné Activer, le bouton est grisé et son titre change en Activation... puis en Activé. L’audit et le monitoring de l’intégrité sont maintenant activés, et vous avez terminé ! Les paramètres de diagnostic appropriés ont été ajoutés de façon transparente. Vous pouvez les afficher et les modifier en sélectionnant le lien Configurer les paramètres de diagnostic.

5. Si vous avez sélectionné Configurer les paramètres de diagnostic, dans l’écran Paramètres de diagnostic, sélectionnez + Ajouter un paramètre de diagnostic.

   (Si vous modifiez un paramètre existant, sélectionnez-le dans la liste des paramètres de diagnostic.)

   • Dans le champ Nom du paramètre de diagnostic, entrez un nom explicite pour votre paramètre.

   • Dans la colonne Journaux, sélectionnez les Catégories appropriées pour les types de ressources à monitorer, par exemple Collecte de données - Connecteurs. Sélectionnez allLogs si vous souhaitez surveiller les règles d’analytique.

   • Sous Détails de la destination, sélectionnez Envoyer à l’espace de travail Log Analytics, puis sélectionnez votre Abonnement et votre Espace de travail Log Analytics dans les menus déroulants.

     

     Au besoin, vous pouvez sélectionner d’autres destinations vers lesquelles envoyer les données, en plus de l’espace de travail Log Analytics.

6. Sélectionnez Enregistrer dans la bannière supérieure pour enregistrer votre nouveau paramètre.

Les tables de données SentinelHealth et SentinelAudit sont créées quand le premier événement est généré pour les ressources sélectionnées.

Vérifier que les tables reçoivent des données

Sur la page Journaux Microsoft Sentinel, exécutez une requête sur la table SentinelHealth. Par exemple :

_SentinelHealth()
 | take 20

Étapes suivantes

• Découvrez l’audit et le monitoring de l’intégrité dans Microsoft Sentinel.
• Surveillez l’intégrité de vos règles d’automatisation et playbooks.
• Surveillez l’intégrité de vos connecteurs de données.
• Surveillez l’intégrité de vos règles d’analytique.
• Découvrez-en plus sur les schémas des tables SentinelHealth et SentinelAudit.