Připojení microsoft Entra data do Služby Microsoft Sentinel
Pomocí integrovaného konektoru Microsoft Sentinelu můžete shromažďovat data z ID Microsoft Entra a streamovat je do Microsoft Sentinelu. Konektor umožňuje streamovat následující typy protokolů:
Protokoly přihlášení, které obsahují informace o interaktivních přihlášeních uživatelů, kde uživatel poskytuje ověřovací faktor.
Konektor Microsoft Entra teď obsahuje následující tři další kategorie protokolů přihlašování, všechny aktuálně ve verzi PREVIEW:
Neinteraktivní protokoly přihlašování uživatelů, které obsahují informace o přihlášeních provedených klientem jménem uživatele bez jakékoli interakce nebo ověřovacího faktoru od uživatele.
Protokoly přihlašování instančního objektu, které obsahují informace o přihlašování pomocí aplikací a instančních objektů, které nezahrnují žádného uživatele. V těchto přihlášeních aplikace nebo služba poskytuje přihlašovací údaje vlastním jménem pro ověřování nebo přístup k prostředkům.
Protokoly přihlašování spravované identity, které obsahují informace o přihlášení pomocí prostředků Azure, které mají tajné kódy spravované v Azure. Další informace najdete v tématu Co jsou spravované identity pro prostředky Azure?
Protokoly auditu, které obsahují informace o systémové aktivitě související se správou uživatelů a skupin, spravovanými aplikacemi a adresářovými aktivitami.
Protokoly zřizování (také ve verzi PREVIEW), které obsahují informace o systémové aktivitě o uživatelích, skupinách a rolích zřízených službou Zřizování Microsoft Entra.
Důležité
Některé dostupné typy protokolů jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
Poznámka:
Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.
Předpoklady
K ingestování přihlašovacích protokolů do Služby Microsoft Sentinel se vyžaduje licence Microsoft Entra ID P1 nebo P2. Jakákoli licence Microsoft Entra ID (Free/O365/P1 nebo P2) stačí k ingestování ostatních typů protokolů. Za Azure Monitor (Log Analytics) a Microsoft Sentinel se můžou účtovat další poplatky za gigabajt.
Uživatel musí mít v pracovním prostoru přiřazenou roli Přispěvatel Microsoft Sentinelu.
Uživateli musí být přiřazeny role Globální Správa istrator nebo Security Správa istrator v tenantovi, ze kterého chcete protokoly streamovat.
Aby uživatel mohl zobrazit stav připojení, musí mít oprávnění ke čtení a zápisu do nastavení diagnostiky Microsoft Entra.
Nainstalujte řešení pro Microsoft Entra ID z centra obsahu v Microsoft Sentinelu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.
Připojení do Microsoft Entra ID
Ve službě Microsoft Sentinel vyberte v navigační nabídce Datové konektory.
V galerii datových konektorů vyberte MICROSOFT Entra ID a pak vyberte Otevřít stránku konektoru.
Zaškrtněte políčka vedle typů protokolů, které chcete streamovat do Služby Microsoft Sentinel (viz výše) a vyberte Připojení.
Vyhledání dat
Po úspěšném připojení se data zobrazí v protokolech v části LogManagement v následujících tabulkách:
SigninLogs
AuditLogs
AADNonInteractiveUserSignInLogs
AADServicePrincipalSignInLogs
AADManagedIdentitySignInLogs
AADProvisioningLogs
Pokud chcete dotazovat protokoly Microsoft Entra, zadejte v horní části okna dotazu příslušný název tabulky.
Další kroky
V tomto dokumentu jste zjistili, jak připojit Microsoft Entra ID k Microsoft Sentinelu. Další informace o službě Microsoft Sentinel najdete v následujících článcích:
- Zjistěte, jak získat přehled o datech a potenciálních hrozbách.
- Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel.