Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Entra ID logge indeholder omfattende oplysninger om brugere, programmer og netværk, der har adgang til din Microsoft Entra lejer. I denne artikel forklares de typer logge, du kan indsamle ved hjælp af Microsoft Entra ID dataconnector, hvordan du gør det muligt for connectoren at sende data til Microsoft Sentinel, og hvordan du finder dine data i Microsoft Sentinel.
Forudsætninger
Der kræves en Microsoft Entra arbejdsbelastnings-id Premium-licens for at streame loggene AADRiskyServicePrincipals og AADServicePrincipalRiskEvents for at Microsoft Sentinel.
Der kræves en Microsoft Entra ID P1- eller P2-licens for at logge på Microsoft Sentinel. Enhver Microsoft Entra ID-licens (gratis/O365/P1 eller P2) er tilstrækkelig til at indtage de andre logtyper. Der kan gælde andre gebyrer pr. gigabyte for Azure Monitor (Log Analytics) og Microsoft Sentinel.
Din bruger skal være tildelt rollen Microsoft Sentinel bidragyder i arbejdsområdet.
Din bruger skal have rollen Sikkerhedsadministrator på den lejer, du vil streame loggene fra, eller de tilsvarende tilladelser.
Brugeren skal have læse- og skriverettigheder til Microsoft Entra diagnosticeringsindstillinger for at kunne se forbindelsesstatussen.
Microsoft Entra ID datatyper for dataconnector
I denne tabel vises de logge, du kan sende fra Microsoft Entra ID til Microsoft Sentinel ved hjælp af Microsoft Entra ID dataconnector. Microsoft Sentinel gemmer disse logge i det Log Analytics-arbejdsområde, der er knyttet til dit Microsoft Sentinel arbejdsområde.
| Logtype | Beskrivelse | Logskema |
|---|---|---|
| Overvågningslogge | Systemaktivitet relateret til bruger- og gruppeadministration, administrerede programmer og katalogaktiviteter. | Overvågningslogs |
| Logonlogge | Interaktive brugerlogon, hvor en bruger leverer en godkendelsesfaktor. | SigninLogs |
| Logonlogge for ikke-interaktive brugere | Logon udført af en klient på vegne af en bruger uden nogen interaktions- eller godkendelsesfaktor fra brugeren. | AADNonInteractiveUserSignInLogs |
| Logonlogge for tjenesteprincipal | Logon fra apps og tjenesteprincipaler, der ikke involverer nogen bruger. I disse logons giver appen eller tjenesten en legitimationsoplysninger på egne vegne for at godkende eller få adgang til ressourcer. | AADServicePrincipalSignInLogs |
| Logonlogge for administreret identitet | Logon af Azure ressourcer, der har hemmeligheder, der administreres af Azure. Du kan få flere oplysninger under Hvad er administrerede identiteter for Azure ressourcer? | AADManagedIdentitySignInLogs |
| AD FS-logonlogge | Logon udført via Active Directory Federation Services (AD FS). | ADFSSignInLogs |
| Forbedrede Office 365 overvågningslogge | Sikkerhedshændelser, der er relateret til Microsoft 365-apps. | EnrichedOffice365AuditLogs |
| Klargør logge | Oplysninger om systemaktivitet for brugere, grupper og roller, der er klargjort af Microsoft Entra klargøringstjeneste. | AADProvisioningLogs |
| Microsoft Graph-aktivitetslogge | HTTP-anmodninger om adgang til din lejers ressourcer via Microsoft Graph API. | MicrosoftGraphActivityLogs |
| Logfiler over netværksadgangstrafik | Netværksadgangstrafik og -aktiviteter. | NetworkAccessTraffic |
| Logfiler over fjernnetværkstilstand | Indsigt i tilstanden af fjernnetværk. | RemoteNetworkHealthLogs |
| Hændelser for brugerrisiko | Hændelser for brugerrisici, der genereres af Microsoft Entra ID Protection. | AADUserRiskEvents |
| Udsatte brugere | Risikable brugere, der er logget af Microsoft Entra ID Protection. | AADRiskyUsers |
| Risikable tjenesteprincipaler | Oplysninger om tjenesteprincipaler, der er markeret som risikable af Microsoft Entra ID Protection. | AADRiskyServicePrincipals |
| Risikohændelser for tjenesteprincipal | Risikoregistreringer, der er knyttet til tjenesteprincipaler, der er logget af Microsoft Entra ID Protection. | AADServicePrincipalRiskEvents |
Vigtigt!
Nogle af de tilgængelige logtyper findes i øjeblikket som PRØVEVERSION. Se de supplerende vilkår for anvendelse af Prøveversioner af Microsoft Azure for at få oplysninger om andre juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
Bemærk!
Du kan få oplysninger om tilgængelighed af funktioner i US Government-cloudmiljøer i Microsoft Sentinel tabeller i Cloudfunktionstilgængelighed for US Government-kunder.
Aktivér den Microsoft Entra ID dataconnector
Søg efter og aktivér den Microsoft Entra ID connector som beskrevet i Aktivér en dataconnector.
Installér Microsoft Entra ID-løsningen (valgfrit)
Installér løsningen til Microsoft Entra ID fra Indholdshub i Microsoft Sentinel for at få færdigbyggede projektmapper, analyseregler, playbooks med mere. Du kan finde flere oplysninger under Find og administrer Microsoft Sentinel indhold, der er klar til brug.
Næste trin
I dette dokument har du lært, hvordan du opretter forbindelse Microsoft Entra ID til Microsoft Sentinel. Du kan få mere at vide om Microsoft Sentinel i følgende artikler:
- Få mere at vide om, hvordan du får indsigt i dine data og potentielle trusler.
- Kom i gang med at registrere trusler med Microsoft Sentinel.