Surveiller les échecs d’authentification sur Azure

Table des matières

Voici un guide étape par étape pour configurer une règle basée sur la journalisation des connexions via Azure Log Analytics afin de surveiller les échecs d’authentification et déclencher une alerte par e-mail.

 

Étape 1 : Créer un espace de travail Log Analytics

  1. Connectez-vous au portail Azure.
  2. Dans la barre de recherche, tapez “Log Analytics” et sélectionnez Log Analytics workspaces.
  3. Cliquez sur Créer.
  4. Sélectionnez votre Abonnement et un Groupe de ressources existant ou créez-en un nouveau.
  5. Donnez un nom à votre espace de travail (par exemple, WorkspaceAuthFailures).
  6. Choisissez une région, puis cliquez sur Revoir + Créer, et enfin sur Créer pour déployer l’espace de travail

 

Étape 2 : Configurer les paramètres de diagnostic pour Azure AD

  1. Accédez au Microsoft Entra admin center (anciennement Azure AD).
  2. Allez dans Identity > Monitoring & health > Diagnostic settings.
  3. Cliquez sur Ajouter un paramètre de diagnostic.
  4. Donnez un nom à ce paramètre (par exemple, AuthFailureLogs).
  5. Sous la section Logs, cochez les cases pour activer la collecte des logs pertinents :
    • AuditLogs
    • SigninLogs
  6. Sous les détails de destination, sélectionnez Envoyer vers Log Analytics, puis choisissez l’espace de travail que vous avez créé précédemment

 

Étape 3 : Créer une requête Kusto pour surveiller les échecs d’authentification

  1. Retournez dans le portail Azure et accédez à votre espace de travail Log Analytics.
  2. Cliquez sur l’onglet Logs.
  3. Utilisez la requête suivante en Kusto Query Language (KQL) pour identifier les échecs d’authentification :
KQL :
SigninLogs
| where ResultType != 0 // Filtre les échecs d'authentification
| summarize Count = count() by bin(TimeGenerated, 1h), UserPrincipalName, AppDisplayName
| order by TimeGenerated desc

Cette requête récupère les tentatives d’authentification échouées avec des détails comme l’utilisateur et l’application utilisée

Étape 4 : Créer une alerte basée sur la requête

  1. Après avoir exécuté la requête KQL, cliquez sur New alert rule dans le coin supérieur droit.
  2. Configurez les conditions :
    • Définissez un seuil pour déclencher l’alerte (par exemple, plus de 5 échecs en 1 heure).
  3. Dans la section Action Group, créez un groupe d’action qui enverra un e-mail :
    • Sélectionnez Email/SMS/Push/Voicemail et configurez l’adresse e-mail du destinataire.
  4. Donnez un nom à l’alerte (par exemple, AuthFailureAlert) et définissez sa gravité (par exemple, Sévère).
  5. Cliquez sur Créer l’alerte

 

Résultat :

Vous avez maintenant configuré une règle qui surveille les échecs d’authentification via Azure Log Analytics et envoie une alerte par e-mail lorsqu’un seuil est dépassé.

Partager cette article

Partager sur Facebook
Partager sur Twitter
Partager sur Linkdin
Image de My ISI

My ISI

Consultant freelance dans les solutions numériques et web. Je vous accompagne dans vos projets de digitalisation de votre entreprise et de ses processus. Création d'un site internet, installation d'une boîte mail professionnel, RDV en ligne, automatisation de vos tâches quotidiennes, mailing clients... N'hésitez pas à me contacter pour en parler ensemble à très vite...

Bonjour, je suis un expert informatique indépendant et je vous aide à prendre les bonnes décisions !

Il est facile de se perdre dans la technologie. Je peux vous aider à prendre les bonnes décisions, afin que vous soyez sûr que la solution proposée est la bonne.

Parlons de vos projets dès maintenant