Microsoft Entra-adatok Csatlakozás a Microsoft Sentinelbe

A Microsoft Sentinel beépített összekötőjével adatokat gyűjthet a Microsoft Entra ID-ból, és továbbíthatja őket a Microsoft Sentinelbe. Az összekötővel a következő naplótípusok streamelhetőek:

• Bejelentkezési naplók, amelyek információkat tartalmaznak az interaktív felhasználói bejelentkezésekről, ahol a felhasználó hitelesítési tényezőt biztosít.

  A Microsoft Entra-összekötő a bejelentkezési naplók következő három további kategóriáját tartalmazza, mind jelenleg előzetes verzióban:

  • Nem interaktív felhasználói bejelentkezési naplók, amelyek információkat tartalmaznak az ügyfél által a felhasználó nevében végrehajtott bejelentkezésekről anélkül, hogy a felhasználótól bármilyen interakciót vagy hitelesítési tényezőt használnak.

  • Szolgáltatásnév bejelentkezési naplói, amelyek olyan alkalmazások és szolgáltatásnevek által végzett bejelentkezésekkel kapcsolatos információkat tartalmaznak, amelyek nem tartalmaznak felhasználót. Ezekben a bejelentkezésekben az alkalmazás vagy szolgáltatás saját nevében biztosít hitelesítő adatokat az erőforrások hitelesítéséhez vagy eléréséhez.

  • Felügyelt identitás bejelentkezési naplói, amelyek az Azure-erőforrások által felügyelt titkos kódokkal rendelkező Azure-erőforrások bejelentkezéseiről tartalmaznak információkat. További információ: Mik az Azure-erőforrások felügyelt identitásai?

• Naplózási naplók, amelyek a felhasználó- és csoportfelügyelettel, a felügyelt alkalmazásokkal és a címtártevékenységekkel kapcsolatos rendszertevékenységekkel kapcsolatos információkat tartalmaznak.

• Kiépítési naplók (szintén előzetes verzióban), amelyek a Microsoft Entra kiépítési szolgáltatás által kiépített felhasználókra, csoportokra és szerepkörökre vonatkozó rendszertevékenység-információkat tartalmaznak.

Fontos

Az elérhető naplótípusok némelyike jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Megjegyzés:

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

Előfeltételek

• A bejelentkezési naplók Microsoft Sentinelbe való betöltéséhez P1 vagy P2 Azonosítójú Microsoft Entra-licenc szükséges. Bármely Microsoft Entra ID-licenc (ingyenes/O365/P1 vagy P2) elegendő a többi naplótípus betöltéséhez. Az Azure Monitor (Log Analytics) és a Microsoft Sentinel esetében további gigabájtonkénti díjak vonatkozhatnak.

• A felhasználóhoz hozzá kell rendelni a Microsoft Sentinel közreműködői szerepkört a munkaterületen.

• A felhasználóhoz hozzá kell rendelni a globális Rendszergazda istrator vagy biztonsági Rendszergazda istrator szerepköröket azon a bérlőn, amelyről a naplókat továbbítani szeretné.

• A felhasználónak olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Entra diagnosztikai beállításaihoz a kapcsolat állapotának megtekintéséhez.

• Telepítse a Microsoft Entra ID megoldását a Microsoft Sentinel content hubjáról. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

Csatlakozás a Microsoft Entra-azonosítóhoz

1. A Microsoft Sentinelben válassza az Adatösszekötők lehetőséget a navigációs menüből.

2. Az adatösszekötők gyűjteményében válassza a Microsoft Entra-azonosítót , majd az Összekötő megnyitása lapot.

3. Jelölje be a Microsoft Sentinelbe streamelni kívánt naplótípusok melletti jelölőnégyzeteket (lásd fent), és válassza a Csatlakozás.

Az adatok megkeresése

A sikeres kapcsolat létrejötte után az adatok a LogManagement szakaszban, a LogManagement szakaszban jelennek meg a következő táblákban:

• SigninLogs
• AuditLogs
• AADNonInteractiveUserSignInLogs
• AADServicePrincipalSignInLogs
• AADManagedIdentitySignInLogs
• AADProvisioningLogs

A Microsoft Entra-naplók lekérdezéséhez adja meg a megfelelő táblanevet a lekérdezési ablak tetején.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan csatlakoztathatja a Microsoft Entra ID-t a Microsoft Sentinelhez. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
• Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.