Compartir a través de


Conexión de datos de Microsoft Entra a Microsoft Sentinel

Puede usar el conector integrado de Microsoft Sentinel para recopilar datos de Microsoft Entra ID y transmitirlos a Microsoft Sentinel. El conector permite transmitir los siguientes tipos de registro:

  • Registros de inicio de sesión, que contienen información sobre inicios de sesión de usuario interactivos, donde un usuario proporciona un factor de autenticación.

    El conector de Microsoft Entra ahora incluye las siguientes tres categorías adicionales de registros de inicio de sesión, todas actualmente en VERSIÓN PRELIMINAR:

  • Registros de auditoría, que contienen información sobre la actividad del sistema relativa a la administración de usuarios y grupos, aplicaciones administradas y actividades de directorio.

  • Registros de aprovisionamiento (también en VERSIÓN PRELIMINAR), que contienen información de actividad del sistema sobre usuarios, grupos y roles aprovisionados por el servicio de aprovisionamiento de Microsoft Entra.

  • Registros de actividad de Microsoft Graph, que contienen información sobre las solicitudes HTTP que acceden a los recursos del inquilino a través de Microsoft Graph API.

Importante

Algunos de los tipos de registro disponibles están actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer otros términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Nota:

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Requisitos previos

  • Se requiere una licencia de Microsoft Entra ID P1 o P2 para ingerir registros de inicio de sesión en Microsoft Sentinel. Cualquier licencia de Microsoft Entra ID (Gratis/O365/P1 o P2) es suficiente para ingerir los otros tipos de registro. Se pueden aplicar otros cargos por gigabyte en el caso de Azure Monitor (Log Analytics) y Microsoft Sentinel.

  • Su usuario debe tener asignado el rol Colaborador de Microsoft Sentinel en el área de trabajo.

  • El usuario debe tener el rol de Administrador de seguridad en el inquilino desde el que desea transmitir los registros o los permisos equivalentes.

  • El usuario debe tener permisos de lectura y escritura en la configuración de diagnóstico de Microsoft Entra para poder ver el estado de conexión.

  • Instale la solución para Microsoft Entra ID desde Centro de contenido en Microsoft Sentinel. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.

Conectar a Microsoft Entra ID

  1. En Microsoft Sentinel, seleccione Conectores de datos en el menú de navegación.

  2. En la galería de conectores de datos, seleccione Microsoft Entra ID y a continuación, seleccione Abrir página del conector.

  3. Active las casillas situadas junto a los tipos de registros que quiera transmitir a Microsoft Sentinel y seleccione Conectar.

Búsqueda de sus datos

Una vez establecida una conexión correcta, los datos aparecen en Registros, en la sección LogManagement, de las tablas siguientes:

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs
  • MSGraphActivityLogs

Para consultar los registros de Microsoft Entra, escriba el nombre de tabla correspondiente en la parte superior de la ventana de consulta.

Pasos siguientes

En este documento, ha aprendido a conectar Microsoft Entra ID a Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: