Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Entra ID log forniscono informazioni complete su utenti, applicazioni e reti che accedono al tenant Microsoft Entra. Questo articolo illustra i tipi di log che è possibile raccogliere usando il connettore dati Microsoft Entra ID, come consentire al connettore di inviare dati a Microsoft Sentinel e come trovare i dati in Microsoft Sentinel.
Prerequisiti
È necessaria una licenza ID dei carichi di lavoro di Microsoft Entra Premium per trasmettere i log AADRiskyServicePrincipals e AADServicePrincipalRiskEvents a Microsoft Sentinel.
È necessaria una licenza P1 o P2 Microsoft Entra ID per inserire i log di accesso in Microsoft Sentinel. Qualsiasi licenza Microsoft Entra ID (Free/O365/P1 o P2) è sufficiente per inserire gli altri tipi di log. Potrebbero essere applicati altri addebiti per gigabyte per Azure Monitor (Log Analytics) e Microsoft Sentinel.
All'utente deve essere assegnato il ruolo collaboratore Microsoft Sentinel nell'area di lavoro.
L'utente deve avere il ruolo Di amministratore della sicurezza nel tenant da cui si desidera trasmettere i log o le autorizzazioni equivalenti.
L'utente deve disporre delle autorizzazioni di lettura e scrittura per le impostazioni di diagnostica Microsoft Entra per poter visualizzare lo stato della connessione.
Microsoft Entra ID tipi di dati del connettore dati
Questa tabella elenca i log che è possibile inviare da Microsoft Entra ID a Microsoft Sentinel usando il connettore dati Microsoft Entra ID. Microsoft Sentinel archivia questi log nell'area di lavoro Log Analytics collegata all'area di lavoro Microsoft Sentinel.
| Tipo di log | Descrizione | Schema di log |
|---|---|---|
| Log di audit | Attività di sistema correlate alla gestione di utenti e gruppi, applicazioni gestite e attività di directory. | AuditLogs |
| Log di accesso | Accessi utente interattivi in cui un utente fornisce un fattore di autenticazione. | SigninLogs |
| Log di accesso utente non interattivi | Accessi eseguiti da un client per conto di un utente senza alcuna interazione o fattore di autenticazione da parte dell'utente. | AADNonInteractiveUserSignInLogs |
| Log di accesso dell'entità servizio | Accessi da app ed entità servizio che non coinvolgono alcun utente. In questi accessi, l'app o il servizio fornisce credenziali per conto proprio per autenticare o accedere alle risorse. | AADServicePrincipalSignInLogs |
| Log di accesso di Identità gestita | Accessi da Azure risorse che dispongono di segreti gestiti da Azure. Per altre informazioni, vedere Informazioni sulle identità gestite per le risorse Azure. | AADManagedIdentitySignInLogs |
| Log di accesso ad AD FS | Accessi eseguiti tramite Active Directory Federation Services (AD FS). | ADFSSignInLogs |
| Log di controllo Office 365 arricchiti | Eventi di sicurezza correlati alle app di Microsoft 365. | EnrichedOffice365AuditLogs |
| Log di provisioning | Informazioni sull'attività di sistema su utenti, gruppi e ruoli di cui è stato effettuato il provisioning dal servizio di provisioning Microsoft Entra. | AADProvisioningLogs |
| Log attività di Microsoft Graph | Richieste HTTP che accedono alle risorse del tenant tramite microsoft API Graph. | MicrosoftGraphActivityLogs |
| Log del traffico di accesso alla rete | Traffico e attività di accesso alla rete. | NetworkAccessTraffic |
| Log di integrità della rete remota | Informazioni dettagliate sull'integrità delle reti remote. | RemoteNetworkHealthLogs |
| Eventi di rischio utente | Eventi di rischio utente generati da protezione Microsoft Entra ID. | AADUserRiskEvents |
| Utenti a rischio | Utenti rischiosi registrati da Microsoft Entra ID Protection. | AADRiskyUsers |
| Entità servizio rischiose | Informazioni sulle entità servizio contrassegnate come rischiose da Microsoft Entra ID Protection. | AADRiskyServicePrincipals |
| Eventi di rischio dell'entità servizio | Rilevamenti dei rischi associati alle entità servizio registrate da Microsoft Entra ID Protection. | AADServicePrincipalRiskEvents |
Importante
Alcuni dei tipi di log disponibili sono attualmente in ANTEPRIMA. Per altre condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate a disponibilità generale, vedere le Condizioni aggiuntive per l'utilizzo per Microsoft Azure Previews.
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud del governo degli Stati Uniti, vedere le tabelle Microsoft Sentinel in Disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.
Abilitare il connettore dati Microsoft Entra ID
Cercare e abilitare il connettore Microsoft Entra ID come descritto in Abilitare un connettore dati.
Installare la soluzione Microsoft Entra ID (facoltativo)
Installare la soluzione per Microsoft Entra IDdall'hub contenuti in Microsoft Sentinel per ottenere cartelle di lavoro predefinite, regole di analisi, playbook e altro ancora. Per altre informazioni, vedere Individuare e gestire Microsoft Sentinel contenuto predefinito.
Passaggi successivi
In questo documento si è appreso come connettere Microsoft Entra ID a Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Introduzione al rilevamento delle minacce con Microsoft Sentinel.