Verbinding maken Microsoft Entra-gegevens naar Microsoft Sentinel

  • Artikel

U kunt de ingebouwde connector van Microsoft Sentinel gebruiken om gegevens van Microsoft Entra ID te verzamelen en naar Microsoft Sentinel te streamen. Met de connector kunt u de volgende logboektypen streamen:

  • Aanmeldingslogboeken, die informatie bevatten over interactieve gebruikersaanmelding, waarbij een gebruiker een verificatiefactor biedt.

    De Microsoft Entra-connector bevat nu de volgende drie extra categorieën aan aanmeldingslogboeken, allemaal in PREVIEW:

    • Niet-interactieve aanmeldingslogboeken van gebruikers, die informatie bevatten over aanmeldingen die door een client namens een gebruiker worden uitgevoerd zonder tussenkomst of verificatiefactor van de gebruiker.

    • Aanmeldingslogboeken van de service-principal, die informatie bevatten over aanmeldingen door apps en service-principals waarvoor geen gebruiker is betrokken. In deze aanmeldingen geeft de app of service namens zichzelf een referentie om resources te verifiëren of te openen.

    • Aanmeldingslogboeken voor beheerde identiteiten, die informatie bevatten over aanmeldingen door Azure-resources met geheimen die worden beheerd door Azure. Zie Wat zijn beheerde identiteiten voor Azure-resources? voor meer informatie.

  • Auditlogboeken, die informatie bevatten over systeemactiviteiten met betrekking tot gebruikers- en groepsbeheer, beheerde toepassingen en directory-activiteiten.

  • Inrichtingslogboeken (ook in PREVIEW), die systeemactiviteitsgegevens bevatten over gebruikers, groepen en rollen die zijn ingericht door de Microsoft Entra-inrichtingsservice.

Belangrijk

Sommige van de beschikbare logboektypen zijn momenteel beschikbaar in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Vereisten

  • Een Microsoft Entra ID P1- of P2-licentie is vereist voor het opnemen van aanmeldingslogboeken bij Microsoft Sentinel. Elke Microsoft Entra ID-licentie (Free/O365/P1 of P2) is voldoende om de andere logboektypen op te nemen. Extra kosten per gigabyte kunnen van toepassing zijn op Azure Monitor (Log Analytics) en Microsoft Sentinel.

  • Aan uw gebruiker moet de rol Microsoft Sentinel-inzender zijn toegewezen in de werkruimte.

  • Uw gebruiker moet de rollen Global Beheer istrator of Security Beheer istrator toewijzen aan de tenant waaruit u de logboeken wilt streamen.

  • Uw gebruiker moet lees- en schrijfmachtigingen hebben voor de diagnostische instellingen van Microsoft Entra om de verbindingsstatus te kunnen zien.

  • Installeer de oplossing voor Microsoft Entra-id vanuit de Content Hub in Microsoft Sentinel. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.

Verbinding maken naar Microsoft Entra-id

  1. Selecteer Gegevensconnectors in het navigatiemenu in Microsoft Sentinel.

  2. Selecteer Microsoft Entra ID in de galerie met gegevensconnectors en selecteer vervolgens de pagina Connector openen.

  3. Markeer de selectievakjes naast de logboektypen die u wilt streamen naar Microsoft Sentinel (zie hierboven) en selecteer Verbinding maken.

Uw gegevens zoeken

Nadat een verbinding tot stand is gebracht, worden de gegevens weergegeven in Logboeken, onder de sectie LogManagement , in de volgende tabellen:

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs

Als u een query wilt uitvoeren op de Microsoft Entra-logboeken, voert u de relevante tabelnaam boven aan het queryvenster in.

Volgende stappen

In dit document hebt u geleerd hoe u Microsoft Entra ID verbindt met Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: