Configurer les journaux d'audit pour un domaine

Cette rubrique explique comment activer et afficher les journaux d'audit du service Microsoft AD géré pour un domaine. Pour en savoir plus sur Cloud Audit Logs pour le service Microsoft AD géré, consultez la page Journaux d'audit Microsoft AD gérés

Activer les journaux d'audit du service Microsoft AD géré

Vous pouvez activer les journaux d'audit Microsoft AD gérés lors de la création du domaine ou en mettre à jour un domaine existant.

À la création du domaine

Pour activer les journaux d'audit Microsoft AD gérés lors de la création du domaine, exécutez la à l'aide de la commande suivante de la gcloud CLI.

gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs

Mettre à jour le domaine existant

Pour mettre à jour un domaine afin d'activer les journaux d'audit pour Microsoft AD géré, suivez la les étapes suivantes.

Console

  1. Accédez au service Microsoft AD géré. de la console Google Cloud.
    Accéder à la page Service Microsoft AD géré
  2. Sur la page "Service Microsoft AD géré", dans la liste des instances, sélectionnez le domaine sur lequel vous souhaitez activer les journaux d'audit.
  3. Sur la page des détails du domaine, sélectionnez Afficher les journaux d'audit, puis Configurer les journaux dans la liste déroulante.
  4. Dans le volet Configurer les journaux d'audit, sous Désactiver/Activer les journaux, définissez les journaux sur Activé.

gcloud

Exécutez la commande gcloud CLI suivante.

gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs

Pour limiter les éléments consignés, vous pouvez utiliser des exclusions de journaux.

Notez que les journaux stockés dans votre projet sont payants. En savoir plus sur les tarifs de Cloud Logging

Désactiver les journaux d'audit Microsoft AD gérés

Pour désactiver les journaux d'audit pour Microsoft AD géré, procédez comme suit.

Console

  1. Accédez au service Microsoft AD géré. de la console Google Cloud.
    Accéder à la page Service Microsoft AD géré
  2. Sur la page "Service Microsoft AD géré", dans la liste des instances, sélectionnez le domaine sur lequel vous souhaitez désactiver les journaux d'audit.
  3. Sur la page des détails du domaine, sélectionnez Afficher les journaux d'audit, puis Configurer les journaux dans la liste déroulante.
  4. Dans le volet Configurer les journaux d'audit, sous Désactiver/Activer les journaux, définissez les journaux sur Désactivé.

gcloud

Exécutez la commande gcloud CLI suivante.

gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs

Vérifier l'état de la journalisation

Pour vérifier que la journalisation est activée ou désactivée, procédez comme suit : la commande gcloud CLI suivante.

gcloud active-directory domains describe DOMAIN_NAME

Dans la réponse, vérifiez la valeur du champ auditLogsEnabled.

Voir les journaux

Les journaux d'audit Microsoft AD gérés ne sont disponibles que pour les domaines pour collecter des journaux.

Pour afficher les journaux d'audit du service Microsoft AD géré, vous devez disposer du roles/logging.viewer Autorisation Identity and Access Management (IAM). Découvrez comment accorder des autorisations.

Pour afficher les journaux d'audit du service Microsoft AD géré pour votre domaine, procédez comme suit :

Explorateur de journaux

  1. Accédez au Explorateur de journaux de la console Google Cloud.
    Accéder à la page Explorateur de journaux
  2. Dans le Générateur de requêtes, saisissez les éléments suivants :

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Pour filtrer par ID d'événement, ajoutez la ligne suivante à votre filtre avancé :

    jsonPayload.ID=EVENT_ID
    
  3. Sélectionnez Exécuter le filtre.

Découvrez l'explorateur de journaux.

Explorateur de journaux

  1. Accédez à la page Explorateur de journaux dans la console Google Cloud.
    Accéder à la page Explorateur de journaux
  2. Dans la zone de texte du filtre, cliquez sur , puis sélectionnez Convertir en filtre avancé.
  3. Dans la zone de texte de filtre avancé, saisissez les valeurs suivantes.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Pour filtrer par ID d'événement, ajoutez la ligne suivante à votre filtre avancé :

    jsonPayload.ID=EVENT_ID
    
  4. Sélectionnez Envoyer le filtre.

Découvrez l'explorateur de journaux.

gcloud

Exécutez la commande gcloud CLI suivante.

gcloud logging read FILTER

FILTER est une expression permettant d'identifier un ensemble d'entrées de journal. Pour lire les entrées de journaux dans des dossiers, des comptes de facturation ou des organisations, ajoutez les options --folder, --billing-account ou --organization.

Pour lire tous les journaux de votre domaine, vous pouvez exécuter la commande suivante.

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

En savoir plus Lire les entrées de journal avec la gcloud CLI et la commande gcloud logging read.

Interpréter les journaux

Chaque objet log_entry contient les champs suivants.

  • log_name est le journal de l'événement où cet événement est enregistré.
  • provider_name est le fournisseur de l'événement qui a publié cet événement.
  • version est le numéro de version de l'événement.
  • event_id est l'identifiant de cet événement.
  • machine_name est l'ordinateur sur lequel cet événement a été consigné.
  • xml est la représentation XML de l'événement. Le schéma est conforme au schéma de l'événement.
  • Le champ message est une représentation lisible de l'événement.

ID d'événements exportés

Le tableau suivant présente les ID d'événements exportés.

Tableau 1. ID d'événements exportés
Catégorie d'audit ID d'événement
Sécurité des ouvertures de session du compte 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777
Account management security 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
Sécurité de l'accès au DS 4662, 5136, 5137, 5138, 5139, 5141
Sécurité des ouvertures/fermetures de session 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964
Sécurité de l'accès aux objets 4661, 5145
Sécurité des modifications des règles 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Sécurité de l'utilisation des privilèges 4985
Sécurité du système 4612, 4621
Authentification NTLM 8004

Si vous constatez qu'un ID d'événement est manquant et qu'il ne s'affiche pas dans la liste,Table des ID d'événement exportés, vous pouvez signaler un bug à l'aide d'Issue Tracker. Utilisez le composant Public Trackers > Cloud Platform > Identity & Security > Managed Service for Microsoft AD.

Exporter des journaux

Vous pouvez exporter les journaux d'audit du service Microsoft AD géré vers Pub/Sub, BigQuery ou Cloud Storage. Découvrez comment exporter des journaux vers d'autres services Google Cloud.

Vous pouvez également exporter des journaux à des fins de conformité, d'analyse de la sécurité et des accès, ainsi que vers des données externes

des solutions SIEM telles que Splunk et Datadog