Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Entra ID lokit tarjoavat kattavia tietoja Microsoft Entra vuokraajaasi käyttävistä käyttäjistä, sovelluksista ja verkoista. Tässä artikkelissa kerrotaan, millaisia lokeja voit kerätä Microsoft Entra ID-tietoliittimen avulla, miten liitin voi lähettää tietoja Microsoft Sentinel ja miten tiedot löytyvät Microsoft Sentinel.
Ennakkovaatimukset
AADRiskyServicePrincipals- ja AADServicePrincipalRiskEvents-lokien suoratoistoon tarvitaan Microsoft Entra -kuormitustunnus Premium -käyttöoikeus Microsoft Sentinel.
Kirjautumislokien sisäänottoon Microsoft Sentinel vaaditaan Microsoft Entra ID P1- tai P2-käyttöoikeus. Mikä tahansa Microsoft Entra ID käyttöoikeus (Free/O365/P1 tai P2) riittää muiden lokityyppien käyttöön. Azure Monitor (Log Analytics) ja Microsoft Sentinel saattavat veloittaa muita gigatavukohtaisia maksuja.
Käyttäjälle on määritettävä Microsoft Sentinel Osallistuja-rooli työtilassa.
Käyttäjällä on oltava suojauksen järjestelmänvalvojan rooli vuokraajassa, josta haluat suoratoistaa lokit, tai vastaavat käyttöoikeudet.
Käyttäjällä on oltava Microsoft Entra diagnostiikka-asetusten luku- ja kirjoitusoikeudet, jotta hän voi nähdä yhteyden tilan.
Microsoft Entra ID tietoyhdistimen tietotyypit
Tässä taulukossa on luettelo lokeista, jotka voit lähettää Microsoft Entra ID Microsoft Sentinel käyttämällä Microsoft Entra ID-tietoyhdistintä. Microsoft Sentinel tallentaa nämä lokit Log Analytics -työtilaan, joka on linkitetty Microsoft Sentinel työtilaasi.
| Lokityyppi | Kuvaus | Lokirakenne |
|---|---|---|
| Valvontalokit | Järjestelmän toiminta, joka liittyy käyttäjien ja ryhmien hallintaan, hallittuihin sovelluksiin ja hakemistotoimintoihin. | Valvontalokit |
| Kirjautumislokit | Vuorovaikutteiset kirjautumiset, joissa käyttäjä tarjoaa todennuskertoimen. | SigninLogs |
| Käyttäjän kirjautumislokit, jotka eivät ole vuorovaikutteisia | Asiakkaan käyttäjän puolesta suorittamat kirjautumiset ilman käyttäjän vuorovaikutus- tai todennusmenetelmää. | AADNonInteractiveUserSignInLogs |
| Palvelun päänimen kirjautumislokit | Kirjautuminen sovellusten ja palvelujen päänimien mukaan, jotka eivät koske ketään käyttäjää. Näissä kirjautumisissa sovellus tai palvelu antaa tunnistetiedot omasta puolestaan resurssien todentamista tai käyttöä varten. | AADServicePrincipalSignInLogs |
| Hallittujen käyttäjätietojen kirjautumislokit | Azure resurssien kirjautumiset, joilla on Azure hallitsemia salaisuuksia. Lisätietoja on artikkelissa Mitä ovat Azure resurssien hallitut käyttäjätiedot? | AADManagedIdentitySignInLogs |
| AD FS -kirjautumislokit | Active Directory -liittoutumispalvelut (AD FS) kautta suoritetut kirjautumiset. | ADFSSignInLogs |
| Täydennetyt Office 365 valvontalokit | Microsoft 365 -sovelluksiin liittyvät suojaustapahtumat. | EnrichedOffice365AuditLogs |
| Valmistelulokit | Järjestelmän toimintatiedot Microsoft Entra valmistelupalvelun valmistelemista käyttäjistä, ryhmistä ja rooleista. | AADProvisioningLogs |
| Microsoft Graphin toimintolokit | HTTP-pyynnöt vuokraajan resurssien käyttämiseksi Microsoft Graph -ohjelmointirajapinnan kautta. | MicrosoftGraphActivityLogs |
| Verkkoyhteyden liikennelokit | Verkkoyhteysliikenne ja toiminnot. | NetworkAccessTraffic |
| Verkon etäkuntolokit | Merkityksellisiä tietoja etäverkkojen kunnosta. | RemoteNetworkHealthLogs |
| Käyttäjän riskitapahtumat | Microsoft Entra ID Protectionin luomat käyttäjäriskitapahtumat. | AADUserRiskEvents |
| Riskialttiit käyttäjät | Microsoft Entra ID Protectionin kirjaamat riskialttiit käyttäjät. | AADRiskyUsers |
| Riskialttiit palvelun päänimet | Tietoja palvelun päänimistä, jotka Microsoft Entra ID Protection on merkinnyt riskialttiiksi. | AADRiskyServicePrincipals |
| Palvelun päänimen riskitapahtumat | Microsoft Entra ID Protectionin kirjaamiin palvelun päänimiin liittyvät riskintunnistuksia. | AADServicePrincipalRiskEvents |
Tärkeää
Jotkin käytettävissä olevista lokityypeistä ovat tällä hetkellä ESIKATSELU-tilassa. Lisätietoja muista juridisista ehdoista, jotka koskevat Azure ominaisuuksia, jotka ovat beetaversiossa, esikatselussa tai muussa tapauksessa yleisesti saatavilla, on microsoft Azure esikatselun lisäkäyttöehdot.
Huomautus
Lisätietoja ominaisuuksien saatavuudesta Yhdysvaltain valtionhallinnon pilvipalveluissa on kohdassa Microsoft Sentinel taulukot Pilvipalvelun ominaisuuksien käytettävyydestä Yhdysvaltain valtionhallinnon asiakkaille.
ota käyttöön Microsoft Entra ID-tietoyhdistin
Hae ja ota käyttöön Microsoft Entra ID liitin kohdassa Ota tietoyhdistin käyttöön kuvatulla tavalla.
Microsoft Entra ID ratkaisun asentaminen (valinnainen)
Asenna Microsoft Entra ID ratkaisu sisältökeskuksesta Microsoft Sentinel, jotta saat valmiita työkirjoja, analytiikkasääntöjä, toistokirjoja ja paljon muuta. Lisätietoja on ohjeaiheessa Microsoft Sentinel käyttövalmiin sisällön löytäminen ja hallinta.
Seuraavat vaiheet
Tässä asiakirjassa opit yhdistämään Microsoft Entra ID Microsoft Sentinel. Lisätietoja Microsoft Sentinel on seuraavissa artikkeleissa:
- Lue, miten saat näkyvyyttä tietoihisi ja mahdollisiin uhkiin.
- Aloita uhkien tunnistaminen Microsoft Sentinel avulla.