Microsoft Entra データを Microsoft Sentinel に接続する

Microsoft Sentinel の組み込みコネクタを使用して、Microsoft Entra ID からデータを収集し、それを Microsoft Sentinel にストリーミングできます。 コネクタを使用すると、次の種類のログをストリーミングできます。

  • サインイン ログには、ユーザーが認証要素を提供する対話型ユーザー サインインに関する情報が含まれています。

    Microsoft Entra コネクタには、次の 3 つの追加カテゴリのサインイン ログが含まれるようになりました。現時点ではすべてプレビュー段階です。

  • 監査ログには、ユーザーとグループの管理、マネージド アプリケーション、およびディレクトリ アクティビティに関連するシステムの利用状況に関する情報が含まれています。

  • プロビジョニング ログ (プレビュー) には、Microsoft Entra プロビジョニング サービスによってプロビジョニングされたユーザー、グループ、ロールに関するシステム アクティビティ情報が含まれています。

重要

使用可能なログの種類の一部は現在 PREVIEW 段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

前提条件

  • サインイン ログを Microsoft Sentinel に取り込むには、Microsoft Entra ID P1 または P2 ライセンスが必要です。 他の種類のログを取り込む場合、任意の Microsoft Entra ID ライセンス (Free/O365/P1 または P2) で十分です。 Azure Monitor (Log Analytics) と Microsoft Azure Sentinel には、追加のギガバイト単位の料金が適用される場合があります。

  • ユーザーには、ワークスペースの Microsoft Azure Sentinel 共同作成者ロールを割り当てる必要があります。

  • ユーザーには、ログをストリーミングするテナントの 全体管理者 または セキュリティ管理者 のロールを割り当てる必要があります。

  • 接続の状態を確認できるようにするために、ユーザーは Microsoft Entra 診断設定に対する読み取りおよび書き込みアクセス許可を持っている必要があります。

  • Microsoft Sentinel のコンテンツ ハブから Microsoft Entra ID 用のソリューションをインストールします。 詳細については、「Microsoft Sentinel のすぐに利用できるコンテンツを検出して管理する」を参照してください。

Microsoft Entra ID に接続する

  1. Microsoft Azure Sentinel で、ナビゲーション メニューから [データ コネクタ] を選択します。

  2. データ コネクタ ギャラリーで、[Microsoft Entra ID] を選択して、[コネクタ ページを開く] を選択します。

  3. Microsoft Azure Sentinel にストリーミングするログの種類の隣のチェック ボックス (上記を参照) をオンにして、 [接続] を選択します。

データの検索

接続が正常に確立されると、次のテーブルの [LogManagement] セクションの下にある [ログ] にデータが表示されます。

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs

Microsoft Entra ログを照会するには、クエ リ ウィンドウの上部に関連テーブル名を入力します。

次のステップ

このドキュメントでは、Microsoft Entra ID を Microsoft Sentinel に接続する方法について学習しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。