Verbinden von Microsoft Entra-Daten mit Microsoft Sentinel

Sie können den integrierten Connector von Microsoft Sentinel verwenden, um Daten aus Microsoft Entra ID zu sammeln und in Microsoft Sentinel zu übertragen. Der Connector ermöglicht das Streamen folgender Protokolltypen:

  • Anmeldeprotokolle: Diese Protokolle enthalten Informationen zu interaktiven Benutzeranmeldungen, bei denen ein Benutzer einen Authentifizierungsfaktor bereitstellt.

    Der Microsoft Entra-Connector beinhaltet nun drei zusätzliche Kategorien von Anmeldeprotokollen (aktuell in der VORSCHAU):

  • Überwachungsprotokolle: Diese Protokolle enthalten Informationen zu Systemaktivitäten im Zusammenhang mit der Benutzer- und Gruppenverwaltung, mit verwalteten Anwendungen und mit Verzeichnisaktivitäten.

  • Bereitstellungsprotokolle (ebenfalls in der VORSCHAU): Diese Protokolle enthalten Informationen zu Systemaktivitäten im Zusammenhang mit Benutzern, Gruppen und Rollen, die durch den Microsoft Entra-Bereitstellungsdienst bereitgestellt werden.

Wichtig

Es befinden sich einige der verfügbaren Protokolltypen derzeit in der VORSCHAUPHASE. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Voraussetzungen

  • Für die Aufnahme von Anmeldeprotokollen in Microsoft Sentinel ist eine Microsoft Entra ID P1- oder P2-Lizenz erforderlich. Jede Microsoft Entra ID-Lizenz (Free/O365/P1 oder P2) reicht aus, um die anderen Protokolltypen aufzunehmen. Für Azure Monitor (Log Analytics) und Microsoft Sentinel können zusätzliche Gebühren pro Gigabyte anfallen.

  • Ihrem Benutzer muss die Rolle Microsoft Sentinel Contributor für den Arbeitsbereich zugewiesen sein.

  • Ihrem Benutzer muss die Rolle Globaler Administrator oder Sicherheitsadministrator für den Mandanten zugewiesen sein, von dem aus Sie die Protokolle streamen möchten.

  • Ihr Benutzer muss über Lese- und Schreibberechtigungen für die Microsoft Entra-Diagnoseeinstellungen verfügen, um den Verbindungsstatus sehen zu können.

  • Installieren Sie die Lösung für Microsoft Entra ID aus dem Content Hub in Microsoft Sentinel. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.

Herstellen einer Verbindung mit Microsoft Entra ID

  1. Wählen Sie in Microsoft Sentinel im Navigationsmenü die Option Datenverbindungen.

  2. Wählen Sie im Katalog für Datenconnectors Microsoft Entra ID aus, und klicken Sie anschließend auf Connectorseite öffnen.

  3. Markieren Sie die Kontrollkästchen neben den Protokolltypen, die Sie in Microsoft Sentinel übertragen möchten (siehe oben), und wählen Sie Verbinden.

Suchen von Daten

Nachdem eine erfolgreiche Verbindung hergestellt wurde, werden die Daten in Protokolle unter LogManagement in den folgenden Tabellen angezeigt:

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs

Geben Sie zum Abfragen der Microsoft Entra-Protokolle im oberen Bereich des Abfragefensters den Tabellennamen ein.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie Microsoft Entra ID mit Microsoft Sentinel verbinden. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln: