Microsoft Entra ID
Les journaux d'audit d'ID IBM QRadar DSM for Microsoft Entra collectent des événements tels que des événements de création d'utilisateur, d'affectation de rôle et d'affectation de groupe. Les journaux de connexion de l'ID Microsoft Entra collectent les événements d'activité de connexion de l'utilisateur.
Important: Le nom Microsoft Azure Active Directory DSM est désormais Microsoft Entra ID DSM. Le nom RPM DSM reste Microsoft Azure Active Directory dans QRadar.
Pour intégrer l'ID Microsoft Entra à QRadar, procédez comme suit:
- Si les mises à jour automatiques ne sont pas activées, les RPM peuvent être téléchargés à partir du site Web d'assistance IBM®. Téléchargez et installez la version la plus récente des RPM suivants sur votre QRadar®.
- Protocol Common RPM
- DSM Common
- RPM du protocole Microsoft Azure Event Hubs
- Microsoft Azure Platform DSM RPM
- Microsoft Azure Active Directory DSM RPM
- Si vous ne disposez pas d'un compte de stockage existant, créez-en un compte. Pour plus d'informations, voir Création d'un compte de stockage.Important: Vous devez disposer d'un compte de stockage pour vous connecter à un concentrateur d'événements. Pour plus d'informations, voir Microsoft Azure Event Hubs protocol FAQ.
- Si vous ne disposez pas d'un concentrateur d'événements existant, créez-un. Pour plus d'informations, voir Quickstart: Création d'un concentrateur d'événements à l'aide du portail Azure.
- Configurez l'ID Microsoft Entra pour transmettre des événements à un concentrateur d'événements Azure en diffusant des événements via des journaux de diagnostic. Pour plus d'informations, voir Tutoriel: Flux des journaux Azure Active Directory vers un Azure Event Hub.
- Si QRadar ne détecte pas automatiquement la source de journal, ajoutez une source de journal d'ID Microsoft Entra sur le QRadar Console à l'aide du protocole Microsoft Azure Event Hubs. Pour plus d'informations sur la configuration du protocole, voir Paramètres de la source de journal Microsoft Active Directory.