Conectar dados do Microsoft Entra ao Microsoft Sentinel
Você pode usar o conector interno do Microsoft Sentinel para coletar dados do Microsoft Entra ID e transmiti-los para o Microsoft Sentinel. O conector permite transmitir os seguintes tipos de log:
Logs de entrada, que contêm informações sobre entradas de usuário interativas em que um usuário fornece um fator de autenticação.
O conector Microsoft Entra agora inclui as seguintes três categorias adicionais de logs de entrada, todos atualmente em PREVIEW:
Logs de entrada de usuário não interativos, que contêm informações sobre entradas realizadas por um cliente em nome de um usuário sem qualquer fator de interação ou autenticação do usuário.
Logs de entrada da entidade de serviço, que contêm informações sobre entradas de aplicativos e entidades de serviço que não envolvem nenhum usuário. Nesses logins, o aplicativo ou serviço fornece uma credencial em seu próprio nome para autenticar ou acessar recursos.
Logs de entrada de Identidade Gerenciada, que contêm informações sobre entradas por recursos do Azure que têm segredos gerenciados pelo Azure. Para obter mais informações, consulte O que são identidades gerenciadas para recursos do Azure?
Logs de provisionamento (também em PREVIEW), que contêm informações de atividade do sistema sobre usuários, grupos e funções provisionados pelo serviço de provisionamento Microsoft Entra.
Logs de atividade do Microsoft Graph, que contêm informações sobre solicitações HTTP que acessam os recursos do locatário por meio da API do Microsoft Graph.
Importante
Alguns dos tipos de log disponíveis estão atualmente em visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter outros termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Pré-requisitos
É necessária uma licença do Microsoft Entra ID P1 ou P2 para ingerir registos de início de sessão no Microsoft Sentinel. Qualquer licença do Microsoft Entra ID (Free/O365/P1 ou P2) é suficiente para ingerir os outros tipos de log. Outras cobranças por gigabyte podem ser aplicadas ao Azure Monitor (Log Analytics) e ao Microsoft Sentinel.
Seu usuário deve receber a função de Colaborador do Microsoft Sentinel no espaço de trabalho.
Seu usuário deve ter a função de Administrador de Segurança no locatário do qual você deseja transmitir os logs ou as permissões equivalentes.
Seu usuário deve ter permissões de leitura e gravação para as configurações de diagnóstico do Microsoft Entra para poder ver o status da conexão.
Instale a solução para o Microsoft Entra ID a partir do Content Hub no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.
Conectar-se ao Microsoft Entra ID
No Microsoft Sentinel, selecione Conectores de dados no menu de navegação.
Na galeria de conectores de dados, selecione Microsoft Entra ID e, em seguida, selecione Abrir página do conector.
Marque as caixas de seleção ao lado dos tipos de log que você deseja transmitir para o Microsoft Sentinel e selecione Conectar.
Encontre os seus dados
Depois que uma conexão bem-sucedida é estabelecida, os dados aparecem em Logs, na seção LogManagement , nas tabelas a seguir:
SigninLogsAuditLogsAADNonInteractiveUserSignInLogsAADServicePrincipalSignInLogsAADManagedIdentitySignInLogsAADProvisioningLogsMSGraphActivityLogs
Para consultar os logs do Microsoft Entra, digite o nome da tabela relevante na parte superior da janela de consulta.
Próximos passos
Neste documento, você aprendeu como conectar o Microsoft Entra ID ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: