Utiliser les journaux d'audit du service Microsoft AD géré

Cette rubrique explique comment activer et afficher les journaux d'audit du service Microsoft AD géré. Pour plus d'informations sur les journaux d'audit Cloud, voir Utiliser les journaux d'audit Cloud pour le service Microsoft AD géré.

Activer les journaux d'audit du service Microsoft AD géré

Vous pouvez activer la journalisation d'audit du service Microsoft AD géré lors de la création du domaine ou de la mise à jour d'un domaine existant.

À la création du domaine

Pour activer la journalisation d'audit du service Microsoft AD géré lors de la création du domaine, exécutez la commande suivante de l'outil gcloud.

gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs

Mettre à jour le domaine existant

Pour mettre à jour un domaine afin d'activer la journalisation d'audit du service Microsoft AD géré, procédez comme suit :

Console

  1. Accédez à la page Service Microsoft AD géré dans Cloud Console.
    Accéder à la page Service Microsoft AD géré
  2. Sur la page "Service Microsoft AD géré", dans la liste des instances, sélectionnez le domaine sur lequel vous souhaitez activer les journaux d'audit.
  3. Sur la page des détails du domaine, sélectionnez Afficher les journaux d'audit, puis Configurer les journaux dans la liste déroulante.
  4. Dans le volet Configurer les journaux d'audit, sous Désactiver/Activer les journaux, définissez les journaux sur Activé.

gcloud

Exécutez la commande d'outil gcloud suivante.

gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs

Pour limiter les éléments consignés, vous pouvez utiliser des exclusions de journaux.

Notez que les journaux stockés dans votre projet sont payants. En savoir plus sur les tarifs de Cloud Logging

Désactiver les journaux d'audit du service Microsoft AD géré

Pour désactiver les journaux d'audit du service Microsoft AD géré, procédez comme suit.

Console

  1. Accédez à la page Service Microsoft AD géré dans Cloud Console.
    Accéder à la page Service Microsoft AD géré
  2. Sur la page "Service Microsoft AD géré", dans la liste des instances, sélectionnez le domaine sur lequel vous souhaitez désactiver les journaux d'audit.
  3. Sur la page des détails du domaine, sélectionnez Afficher les journaux d'audit, puis Configurer les journaux dans la liste déroulante.
  4. Dans le volet Configurer les journaux d'audit, sous Désactiver/Activer les journaux, définissez les journaux sur Désactivé.

gcloud

Exécutez la commande d'outil gcloud suivante.

gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs

Vérifier l'état de la journalisation

Pour vérifier que la journalisation est activée ou désactivée, exécutez la commande suivante de l'outil gcloud.

gcloud active-directory domains describe DOMAIN_NAME

Dans la réponse, vérifiez la valeur du champ auditLogsEnabled.

Afficher les journaux

Les journaux d'audit du service Microsoft AD géré ne sont disponibles que pour les domaines autorisés à collecter des journaux.

Pour afficher les journaux d'audit du service Microsoft AD géré, vous devez disposer de l'autorisation IAM (Identity and Access Management) roles/logging.viewer. Découvrez comment accorder des autorisations.

Pour afficher les journaux d'audit du service Microsoft AD géré pour votre domaine, procédez comme suit :

Explorateur de journaux

  1. Accédez à la page Explorateur de journaux dans Cloud Console :
    Accéder à la page Explorateur de journaux
  2. Dans le Générateur de requêtes, saisissez les éléments suivants :

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Pour filtrer par ID d'événement, ajoutez la ligne suivante à votre filtre avancé :

    jsonPayload.ID=EVENT_ID
    
  3. Sélectionnez Exécuter le filtre.

Découvrez l'explorateur de journaux.

Visionneuse de journaux

  1. Accédez à la page Visionneuse de journaux dans Cloud Console :
    Accéder à la page Visionneuse de journaux
  2. Dans la zone de texte du filtre, cliquez sur , puis sélectionnez Convertir en filtre avancé.
  3. Dans la zone de texte de filtre avancé, saisissez les valeurs suivantes.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Pour filtrer par ID d'événement, ajoutez la ligne suivante à votre filtre avancé :

    jsonPayload.ID=EVENT_ID
    
  4. Sélectionnez Envoyer le filtre.

Découvrez la visionneuse de journaux.

gcloud

Exécutez la commande d'outil gcloud suivante.

gcloud logging read FILTER

FILTER est une expression permettant d'identifier un ensemble d'entrées de journal. Pour lire les entrées de journaux dans des dossiers, des comptes de facturation ou des organisations, ajoutez les options --folder, --billing-account ou --organization.

Pour lire tous les journaux de votre domaine, vous pouvez exécuter la commande suivante.

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

Découvrez comment lire les entrées de journal avec l'outil gcloud et la commande gcloud logging read.

Interpréter les journaux

Chaque objet log_entry contient les champs suivants.

  • log_name est le journal de l'événement où cet événement est enregistré.
  • provider_name est le fournisseur de l'événement qui a publié cet événement.
  • version est le numéro de version de l'événement.
  • event_id est l'identifiant de cet événement.
  • machine_name est l'ordinateur sur lequel cet événement a été consigné.
  • xml est la représentation XML de l'événement. Le schéma est conforme au schéma de l'événement.
  • Le champ message est une représentation lisible de l'événement.

ID d'événements exportés

Le tableau suivant présente les ID d'événements exportés.

Tableau 1. ID d'événements exportés
Catégorie d'audit ID d'événement
Sécurité des ouvertures de session du compte 4767, 4774, 4775, 4776, 4777
Account management security 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
Sécurité de l'accès au DS 5136, 5137, 5138, 5139, 5141
Sécurité des ouvertures/fermetures de session 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964
Sécurité des modifications des règles 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Sécurité de l'utilisation des privilèges 4985
Sécurité du système 4612, 4621

Si vous constatez qu'un ID d'événement est manquant et qu'il ne s'affiche pas dans la liste,Table des ID d'événement exportés, vous pouvez signaler un bug à l'aide d'Issue Tracker. Utilisez le composant Public Trackers > Cloud Platform > Identity & Security > Managed Service for Microsoft AD.

Exporter les journaux

Vous pouvez exporter les journaux d'audit du service Microsoft AD géré vers Pub/Sub, BigQuery ou Cloud Storage. Découvrez comment exporter des journaux vers d'autres services Google Cloud.

Vous pouvez également exporter les journaux en raison d'exigences de conformité, d'analyse de la sécurité et des accès et vers des systèmes SIEM externes tels que Splunk, Elasticsearch et Datadog.