Conexión de datos de Microsoft Entra a Microsoft Sentinel

Puede usar el conector integrado de Microsoft Sentinel para recopilar datos de Microsoft Entra ID y transmitirlos a Microsoft Sentinel. El conector permite transmitir los siguientes tipos de registro:

• Registros de inicio de sesión, que contienen información sobre inicios de sesión de usuario interactivos, donde un usuario proporciona un factor de autenticación.

  El conector de Microsoft Entra ahora incluye las siguientes tres categorías adicionales de registros de inicio de sesión, todas actualmente en VERSIÓN PRELIMINAR:

  • Registros de inicios de sesión de usuario no interactivos, que contienen información sobre los inicios de sesión realizados por un cliente en nombre de un usuario sin ninguna interacción ni factor de autenticación de parte del usuario.

  • Registros de inicios de sesión de entidad de servicio, que contienen información sobre inicios de sesión realizados por aplicaciones y entidades de servicio que no involucran a ningún usuario. En estos inicios de sesión, la aplicación o el servicio proporcionan una credencial en su propio nombre para autenticarse o acceder a los recursos.

  • Registros de inicios de sesión de identidades administradas, que contienen información sobre inicios de sesión realizados por recursos de Azure que tienen secretos administrados por Azure. Para obtener más información, consulte ¿Qué son las identidades administradas para recursos de Azure?

• Registros de auditoría, que contienen información sobre la actividad del sistema relativa a la administración de usuarios y grupos, aplicaciones administradas y actividades de directorio.

• Registros de aprovisionamiento (también en VERSIÓN PRELIMINAR), que contienen información de actividad del sistema sobre usuarios, grupos y roles aprovisionados por el servicio de aprovisionamiento de Microsoft Entra.

Importante

Algunos de los tipos de registro disponibles están actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Nota

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Requisitos previos

• Se requiere una licencia P1 o P2 de Microsoft Entra ID para ingerir registros de inicio de sesión en Microsoft Sentinel. Cualquier licencia de Microsoft Entra ID (Gratis/O365/P1 o P2) es suficiente para ingerir los otros tipos de registro. Se pueden aplicar cargos adicionales por gigabyte en el caso de Azure Monitor (Log Analytics) y Microsoft Sentinel.

• Su usuario debe tener asignado el rol Colaborador de Microsoft Sentinel en el área de trabajo.

• El usuario debe tener asignados los roles Administrador global o Administrador de seguridad en el inquilino desde el que quiere transmitir los registros.

• El usuario debe tener permisos de lectura y escritura en la configuración de diagnóstico de Microsoft Entra para poder ver el estado de conexión.

• Instale la solución para Microsoft Entra ID desde Centro de contenido en Microsoft Sentinel. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.

Conectar a Microsoft Entra ID

1. En Microsoft Sentinel, seleccione Conectores de datos en el menú de navegación.

2. En la galería de conectores de datos, seleccione Microsoft Entra ID y a continuación, seleccione Abrir página del conector.

3. Active las casillas situadas junto a los tipos de registros que quiera transmitir a Microsoft Sentinel (véase anteriormente) y seleccione Conectar.

Búsqueda de sus datos

Una vez establecida una conexión correcta, los datos aparecen en Registros, en la sección LogManagement, de las tablas siguientes:

• SigninLogs
• AuditLogs
• AADNonInteractiveUserSignInLogs
• AADServicePrincipalSignInLogs
• AADManagedIdentitySignInLogs
• AADProvisioningLogs

Para consultar los registros de Microsoft Entra, escriba el nombre de tabla correspondiente en la parte superior de la ventana de consulta.

Pasos siguientes

En este documento, ha aprendido a conectar Microsoft Entra ID a Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos:

• Aprenda a obtener visibilidad de los datos y de posibles amenazas.
• Empiece a detectar amenazas con Microsoft Sentinel.