Conectar os dados do Microsoft Entra ao Microsoft Sentinel
Você pode usar o conector integrado do Microsoft Sentinel para coletar dados do Microsoft Entra ID e transmitir para o Microsoft Sentinel. O conector permite transmitir os seguintes tipos de log:
Logs de conexão, que contêm informações sobre as conexões interativas do usuário nas quais um usuário fornece um fator de autenticação.
O conector do Microsoft Entra agora inclui as três seguintes categorias adicionais de logs de entrada, todas atualmente em VERSÃO PRÉVIA:
Logs de entrada de usuário não interativas, que contêm informações sobre as logins executadas por um cliente em nome de um usuário sem nenhuma interação ou fator de autenticação do usuário.
Logs de conexão da entidade de serviço, que contêm informações sobre as logins por aplicativos e entidades de serviço que não envolvem nenhum usuário. Nessas entradas, o aplicativo ou serviço fornece uma credencial em nome de si para autenticar ou acessar recursos.
Logs de conexão da Identidade Gerenciada, que contêm informações sobre as logins pelos recursos do Azure que têm segredos gerenciados pelo Azure. Para obter mais informações, confira O que são as identidades gerenciadas para recursos do Azure?
Logs de auditoria: fornece informações da atividade do sistema sobre o gerenciamento de usuários e grupos, além de aplicativos gerenciados e atividades de diretório.
Logs de provisionamento (também em VERSÃO PRÉVIA), que contêm informações de atividade do sistema sobre usuários, grupos e funções provisionados pelo serviço de provisionamento do Microsoft Entra.
Importante
Alguns dos tipos de log disponíveis estão em VERSÃO PRÉVIA no momento. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Observação
Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Pré-requisitos
Uma licença P1 ou P2 do Microsoft Entra ID é necessária para ingerir logs de entrada no Microsoft Sentinel. Qualquer licença do Microsoft Entra ID (gratuito/O365/P1/P2) é suficiente para ingerir os outros tipos de log. Encargos adicionais por gigabyte podem ser aplicados ao Azure Monitor (Log Analytics) e ao Microsoft Sentinel.
Deve ser atribuída ao usuário a função de Colaborador do Microsoft Sentinel no workspace.
Ao seu usuário, devem ser atribuídas as funções de Administrador global ou de Administrador de segurança no locatário do qual você deseja transmitir os logs.
Seu usuário deve ter permissões de leitura e gravação em relação às configurações de diagnóstico do Microsoft Entra para poder ver o status da conexão.
Instale a solução para Microsoft Entra ID a partir do Hub de Conteúdos no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.
Conectar Microsoft Entra ID
No Microsoft Sentinel, selecione Conectores de dados no menu de navegação.
Na galeria de Conectores de dados, selecione Microsoft Entra ID e, depois, a Abrir página do conector.
Marque as caixas de seleção ao lado dos tipos de log que você deseja transmitir para o Microsoft Sentinel (confira acima) e selecione Conectar.
Localizar seus dados
Depois que uma conexão bem-sucedida for estabelecida, os dados serão exibidos nos Logs na seção LogsManagement nas seguintes tabela:
SigninLogsAuditLogsAADNonInteractiveUserSignInLogsAADServicePrincipalSignInLogsAADManagedIdentitySignInLogsAADProvisioningLogs
Para consultar os logs do Microsoft Entra, insira o nome da tabela relevante na parte superior da janela de consulta.
Próximas etapas
Neste documento, você aprendeu a conectar o Microsoft Entra ID ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
- Saiba como obter visibilidade dos seus dados e de possíveis ameaças.
- Introdução à detecção de ameaças com o Microsoft Sentinel.