Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Entra ID-logboeken bieden uitgebreide informatie over gebruikers, toepassingen en netwerken die toegang hebben tot uw Microsoft Entra-tenant. In dit artikel worden de typen logboeken uitgelegd die u kunt verzamelen met behulp van de Microsoft Entra ID-gegevensconnector, hoe u de connector in staat stelt om gegevens te verzenden naar Microsoft Sentinel en hoe u uw gegevens kunt vinden in Microsoft Sentinel.
Vereisten
Een Microsoft Entra Workload ID Premium-licentie is vereist voor het streamen van AADRiskyServicePrincipals en AADServicePrincipalRiskEvents-logboeken naar Microsoft Sentinel.
Een Microsoft Entra ID P1- of P2-licentie is vereist voor het opnemen van aanmeldingslogboeken bij Microsoft Sentinel. Elke Microsoft Entra ID-licentie (Free/O365/P1 of P2) is voldoende om de andere logboektypen op te nemen. Andere kosten per gigabyte kunnen van toepassing zijn op Azure Monitor (Log Analytics) en Microsoft Sentinel.
Aan uw gebruiker moet de rol Microsoft Sentinel-bijdrager zijn toegewezen in de werkruimte.
Uw gebruiker moet de rol Beveiligingsbeheerder hebben voor de tenant waaruit u de logboeken wilt streamen of de equivalente machtigingen.
Uw gebruiker moet lees- en schrijfmachtigingen hebben voor de diagnostische instellingen van Microsoft Entra om de verbindingsstatus te kunnen zien.
Gegevenstypen van de gegevensconnector voor Microsoft Entra ID
Deze tabel bevat de logboeken die u kunt verzenden van Microsoft Entra ID naar Microsoft Sentinel met behulp van de Microsoft Entra ID-gegevensconnector. In Microsoft Sentinel worden deze logboeken opgeslagen in de Log Analytics-werkruimte die is gekoppeld aan uw Microsoft Sentinel-werkruimte.
| Logboektype | Beschrijving | Logboekschema |
|---|---|---|
| Auditlogboeken | Systeemactiviteit met betrekking tot gebruikers- en groepsbeheer, beheerde toepassingen en directory-activiteiten. | AuditLogs |
| Aanmeldingslogboeken | Interactieve aanmeldingen van gebruikers waarbij een gebruiker een verificatiefactor biedt. | SigninLogs |
| Aanmeldingslogboeken van niet-interactieve gebruikers | Aanmeldingen die door een client namens een gebruiker worden uitgevoerd zonder tussenkomst of verificatiefactor van de gebruiker. | AADNietInteractieveGebruikersAanmeldingsLogboeken |
| Aanmeldingslogboeken van de service principal | Aanmeldingen door apps en service-principals waarvoor geen gebruiker is betrokken. In deze aanmeldingen verstrekt de app of service zelf inloggegevens om zich te authentiseren of toegang te krijgen tot resources. | AADServicePrincipalAanmeldingslogboeken |
| Aanmeldingslogboeken voor beheerde identiteit | Aanmeldingen door Azure-resources met wachtwoorden die door Azure worden beheerd. Zie Wat zijn beheerde identiteiten voor Azure-resources? voor meer informatie. | AADManagedIdentitySignInLogs |
| Aanmeldingslogboeken van AD FS | Aanmeldingen uitgevoerd via Active Directory Federation Services (AD FS). | ADFSSignInLogs |
| Verrijkte Office 365-auditlogboeken | Beveiligingsevenementen met betrekking tot Microsoft 365-apps. | Verrijkte Office365 Auditlogs |
| Provisioneringslogboeken | De informatie over systeemactiviteiten met betrekking tot gebruikers, groepen en rollen die zijn voorzien door de Microsoft Entra-provisioningservice. | AADProvisioningLogs |
| Activiteitenlogboeken van Microsoft Graph | HTTP-aanvragen voor toegang tot de resources van uw tenant via de Microsoft Graph API. | MicrosoftGraphActivityLogs |
| Logboeken voor netwerktoegangsverkeer | Netwerktoegangsverkeer en -activiteiten. | NetworkAccessTraffic |
| Statuslogboeken voor externe netwerken | Inzichten in de status van externe netwerken. | RemoteNetworkHealthLogs |
| Gebruikersrisicogebeurtenissen | Gebruikersrisicogebeurtenissen die worden gegenereerd door Microsoft Entra ID Protection. | AADUserRiskEvents |
| Riskante gebruikers | Riskante gebruikers die zijn geregistreerd door Microsoft Entra ID Protection. | AADRiskyUsers |
| Riskante serviceprincipes | Informatie over service-principals die zijn gemarkeerd als riskant door Microsoft Entra ID Protection. | AADRiskyServicePrincipals |
| Risicogebeurtenissen voor service principal | Risicodetecties die zijn gekoppeld aan service-principals die zijn geregistreerd door Microsoft Entra ID Protection. | AADServicePrincipalRiskEvents |
Belangrijk
Sommige van de beschikbare logboektypen zijn momenteel beschikbaar in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor andere juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.
Notitie
Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.
De Microsoft Entra ID-gegevensconnector inschakelen
Zoek en schakel de Microsoft Entra ID-connector in, zoals beschreven in Een gegevensconnector inschakelen.
De Microsoft Entra ID-oplossing installeren (optioneel)
Installeer de oplossing voor Microsoft Entra-id van de Content Hub in Microsoft Sentinel om vooraf gemaakte werkmappen, analyseregels, playbooks en meer op te halen. Voor meer informatie, zie de ingebouwde inhoud van Microsoft Sentinel ontdekken en beheren.
Volgende stappen
In dit document hebt u geleerd hoe u Microsoft Entra ID verbindt met Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Meer informatie over hoe u inzicht krijgt in uw gegevens en potentiële bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.