Utiliser des journaux d'audit Microsoft AD gérés

Cette rubrique explique comment activer et afficher les journaux d'audit Microsoft AD gérés. Pour plus d'informations sur les journaux d'audit Cloud, consultez la page Utiliser Cloud Audit Logging pour le service Microsoft AD géré.

Activer les journaux d'audit de Microsoft AD géré

Vous pouvez activer les journaux d'audit du service Microsoft AD géré lors de la création du domaine ou en mettant à jour un domaine existant.

Lors de la création du domaine

Pour activer la journalisation d'audit Microsoft AD géré lors de la création du domaine, exécutez la commande suivante de l'outil gcloud.

gcloud beta active-directory domains create DOMAIN_NAME --enable-audit-logs

Mettre à jour le domaine existant

Pour mettre à jour un domaine afin d'activer la journalisation d'audit Microsoft AD géré, exécutez la commande suivante de l'outil gcloud.

gcloud beta active-directory domains update DOMAIN_NAME --enable-audit-logs

Pour limiter ce qui est journal, vous pouvez utiliser les exclusions de journaux.

Notez que les journaux stockés dans votre projet sont payants. Découvrez les tarifs de Cloud Logging.

Désactiver la journalisation d'audit du service Microsoft AD géré

Pour désactiver la journalisation d'audit du service Microsoft AD géré, exécutez la commande suivante de l'outil gcloud.

gcloud beta active-directory domains update DOMAIN_NAME --no-enable-audit-logs

Vérifier l'état de la journalisation

Pour vérifier que la journalisation est activée ou désactivée, exécutez la commande suivante de l'outil gcloud.

gcloud beta active-directory domains describe DOMAIN_NAME

Dans la réponse, vérifiez la valeur du champ auditLogsEnabled.

Afficher les journaux

Les journaux d'audit Microsoft AD gérés ne sont disponibles que pour les domaines qui sont activés pour collecter des journaux.

Pour afficher les journaux d'audit Microsoft AD gérés, vous devez disposer de la roles/logging.viewer Autorisation Identity and Access Management (IAM). Découvrez comment accorder des autorisations.

Pour afficher les journaux d'audit Microsoft AD gérés pour votre domaine, procédez comme suit :

Explorateur de journaux

  1. Accédez à la page Explorateur de journaux de Cloud Console.
    Accéder à la page Explorateur de journaux
  2. Dans le Générateur de requêtes, saisissez les valeurs suivantes :

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Pour filtrer par ID d'événement, ajoutez la ligne suivante à votre filtre avancé.

    jsonPayload.ID=EVENT_ID
    
  3. Sélectionnez Run Filter (Exécuter le filtre).

Découvrez l'explorateur de journaux.

Visionneuse de journaux

  1. Accédez à la page Visionneuse de journaux de Cloud Console.
    Accéder à la page Visionneuse de journaux
  2. Dans la zone de texte du filtre, cliquez sur , puis sélectionnez Convertir en filtre avancé.
  3. Dans la zone de texte du filtre avancé, saisissez les valeurs suivantes :

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Pour filtrer par ID d'événement, ajoutez la ligne suivante à votre filtre avancé.

    jsonPayload.ID=EVENT_ID
    
  4. Sélectionnez Envoyer le filtre.

Découvrez la visionneuse de journaux.

gcloud

Exécutez la commande d'outil gcloud suivante.

gcloud logging read FILTER

FILTER est une expression permettant d'identifier un ensemble d'entrées de journal. Pour lire les entrées de journal dans des dossiers, des comptes de facturation ou des organisations, ajoutez les options --folder, --billing-account ou --organization.

Pour lire tous les journaux de votre domaine, vous pouvez exécuter la commande suivante.

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

Découvrez comment lire les entrées de journal avec l'outil gcloud et la commande gcloud logging read.

Interpréter les journaux

Chaque log_entry contient les champs suivants.

  • log_name est le journal des événements où cet événement est enregistré.
  • provider_name est le fournisseur de l'événement qui a publié cet événement.
  • version correspond au numéro de version de l'événement.
  • event_id est l'identifiant de cet événement.
  • machine_name correspond à l'ordinateur sur lequel cet événement a été consigné.
  • xml est la représentation XML de l'événement. Il est conforme au schéma d'événements.
  • message est une représentation lisible de l'événement.

ID d'événements exportés

Le tableau suivant répertorie les ID d'événements exportés.

Tableau 1. ID d'événements exportés
Catégorie d'audit ID d'événement
Sécurité de connexion au compte 4767, 4747, 4775, 4776, 4777
Sécurité de la gestion du compte 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 47733, 4734, 473, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4757, 4755 , 4757, 4758, 4764, 4765, 4766, 4780, 14781, 7882, 4793, 7978, 4799, 5376, 5377
Sécurité de l'accès à DS 5136, 5137, 5138, 5139, 5141
Sécurité sans logo 4624, 4625, 4634, 4647, 4648, 4672, 4675, 6464
Sécurité des modifications des stratégies 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Sécurité relative à l'utilisation des droits 4985
Sécurité du système 4061, 4621

Si des ID d'événement sont manquants et qu'ils ne sont pas répertoriés dans le tableau des ID d'événement exportés, vous pouvez utiliser l'outil de suivi des problèmes {101. } pour signaler un bug. Utilisez le composant Outils de suivi publics > Cloud Platform > Identité et sécurité > Service géré pour Microsoft AD.

Exporter les journaux

Vous pouvez exporter les journaux d'audit du service Microsoft AD géré vers Pub/Sub, BigQuery ou Cloud Storage. Découvrez comment exporter des journaux vers d'autres services Google Cloud.

Vous pouvez également exporter les journaux pour des exigences en matière de conformité, des analyses de la sécurité et des accès, ainsi que des fonctions SIEM externes telles que Splunk, Elasticsearch et Datadog.

Assistance

Pour obtenir de l'aide pendant l'aperçu, vous pouvez envoyer des questions à google-cloud-managed-microsoft-ad-discuss@googlegroups.com ou signaler un bug dans le Outil de suivi des problèmes.