Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dzienniki Microsoft Entra ID zawierają kompleksowe informacje o użytkownikach, aplikacjach i sieciach, które uzyskują dostęp do dzierżawy usługi Microsoft Entra. W tym artykule opisano typy dzienników, które można zbierać przy użyciu łącznika danych Microsoft Entra ID, jak umożliwić łącznikowi wysyłanie danych do usługi Microsoft Sentinel oraz jak znaleźć dane w usłudze Microsoft Sentinel.
Wymagania wstępne
Aby przesłać strumieniowo dzienniki AADRiskyServicePrincipals i AADServicePrincipalRiskEvents do Microsoft Sentinel, wymagana jest licencja Microsoft Entra Workload ID Premium.
Aby importować dzienniki logowania do usługi Microsoft Sentinel, wymagana jest licencja Microsoft Entra ID P1 lub P2. Każda licencja Microsoft Entra ID (Bezpłatna/O365/P1 lub P2) jest wystarczająca do pobierania innych typów dzienników. Inne opłaty za gigabajt mogą dotyczyć usług Azure Monitor (Log Analytics) i Microsoft Sentinel.
Użytkownik musi mieć przypisaną rolę Współtwórca usługi Microsoft Sentinel w obszarze roboczym.
Użytkownik musi mieć rolę Administratora zabezpieczeń w dzierżawie, z której chcesz przesyłać dzienniki, lub równoważne uprawnienia.
Aby można było zobaczyć stan połączenia, użytkownik musi mieć uprawnienia odczytu i zapisu do ustawień diagnostycznych firmy Microsoft Entra.
Typy danych łącznika danych Entra ID firmy Microsoft
W tej tabeli wymieniono dzienniki, które można wysłać z identyfikatora Entra firmy Microsoft do usługi Microsoft Sentinel przy użyciu łącznika danych Microsoft Entra ID. Usługa Microsoft Sentinel przechowuje te dzienniki w obszarze roboczym usługi Log Analytics połączonym z obszarem roboczym usługi Microsoft Sentinel.
| Typ dziennika | Opis | Schemat dziennika |
|---|---|---|
| Dzienniki inspekcji | Aktywność systemowa związana z zarządzaniem użytkownikami i grupami, aplikacjami zarządzanymi i działaniami katalogu. | Dzienniki inspekcji |
| Dzienniki logowania | Interakcyjne logowania użytkowników, w których użytkownik zapewnia współczynnik uwierzytelniania. | Dzienniki rejestracji |
| Dzienniki logowania nieinterakcyjnego użytkownika | Logowania wykonywane przez klienta w imieniu użytkownika bez interakcji ani współczynnika uwierzytelniania od użytkownika. | RejestryNielogującychSięUżytkownikówAAD |
| Dzienniki logowania jednostki usługi | Logowania według aplikacji i jednostek usługi, które nie obejmują żadnego użytkownika. W tych logowaniach aplikacja lub usługa udostępnia poświadczenia we własnym imieniu w celu uwierzytelniania zasobów lub uzyskiwania do nich dostępu. | Dzienniki Logowań AADServicePrincipal |
| Dzienniki logowania tożsamości zarządzanej | Logowania zasobów platformy Azure, które mają tajemnice zarządzane przez platformę Azure. Aby uzyskać więcej informacji, zobacz Czym są tożsamości zarządzane dla zasobów platformy Azure?. | Dzienniki logowania z zarządzaną tożsamością AAD |
| Dzienniki logowania usług AD FS | Logowania wykonywane za pośrednictwem usług Active Directory Federation Services (AD FS). | ADFSSignInLogs |
| Wzbogacone dzienniki inspekcji usługi Office 365 | Zdarzenia zabezpieczeń związane z aplikacjami platformy Microsoft 365. | WzbogaconeLogiAudytuOffice365 |
| Dzienniki aprowizacji | Informacje o aktywności systemowej dotyczące użytkowników, grup i ról zapewniających aprowizację przez usługę aprowizacji Microsoft Entra. | Dzienniki aprowizacji AAD |
| Dzienniki aktywności programu Microsoft Graph | Żądania HTTP uzyskujące dostęp do zasobów Twojego dzierżawcy za pośrednictwem interfejsu API Microsoft Graph. | MicrosoftGraphActivityLogs |
| Dzienniki ruchu dostępu do sieci | Ruch oraz aktywności związane z dostępem do sieci. | NetworkAccessTraffic |
| Dzienniki kondycji sieci zdalnej | Szczegółowe informacje na temat kondycji sieci zdalnych. | RemoteNetworkHealthLogs |
| Zdarzenia ryzyka związanego z użytkownikiem | Zdarzenia o podwyższonym ryzyku użytkownika generowane przez usługę Microsoft Entra ID Protection. | Zdarzenia ryzyka użytkownika AAD |
| Ryzykowni użytkownicy | Ryzykowni użytkownicy zalogowani przez usługę Microsoft Entra ID Protection. | AADRiskyUsers |
| Ryzykowne główne składniki usługi | Informacje o jednostkach usługi oflagowanych jako ryzykowne przez usługę Microsoft Entra ID Protection. | AADRiskyServicePrincipals |
| Zdarzenia ryzyka jednostki usługi | Wykrycia ryzyka skojarzone z podmiotami usługi rejestrowanymi przez usługę Microsoft Entra ID Protection. | AADServicePrincipalRiskEvents |
Ważne
Niektóre z dostępnych typów dzienników są obecnie dostępne w wersji ZAPOZNAWCZEJ. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z innymi warunkami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.
Włącz łącznik danych Microsoft Entra ID
Wyszukaj i włącz łącznik Microsoft Entra ID zgodnie z opisem w temacie Włączanie łącznika danych.
Instalowanie rozwiązania Microsoft Entra ID (opcjonalnie)
Zainstaluj rozwiązanie dla identyfikatora Entra firmy Microsoft z centrum zawartości w usłudze Microsoft Sentinel, aby uzyskać wstępnie utworzone skoroszyty, reguły analizy, podręczniki i nie tylko. Aby uzyskać więcej informacji, zobacz Odkrywanie i zarządzanie gotową zawartością Microsoft Sentinel.
Następne kroki
W tym dokumencie przedstawiono sposób łączenia identyfikatora Entra firmy Microsoft z usługą Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:
- Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
- Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.