Подключение данные Microsoft Entra в Microsoft Sentinel

Встроенный соединитель Microsoft Sentinel можно использовать для сбора данных из идентификатора Microsoft Entra и потоковой передачи данных в Microsoft Sentinel. Соединитель позволяет выполнять потоковую передачу следующих типов журналов:

• Журналы входа, содержащие сведения об интерактивных входах пользователей, при которых пользователь предоставляет фактор проверки подлинности.

  Соединитель Microsoft Entra теперь включает следующие три дополнительные категории журналов входа, все в настоящее время в предварительной версии:

  • Журналы неинтерактивного входа пользователей, содержащие сведения о входах, выполняемых клиентом от имени пользователя без какого-либо взаимодействия или предоставления фактора проверки подлинности со стороны пользователя.

  • Журналы входа субъектов-служб, содержащие сведения об операциях входа приложений и субъектов-служб, которые не имеют прямого отношения к определенному пользователю. При таких операциях входа приложение или служба предоставляют собственные учетные данные для проверки подлинности или доступа к ресурсам.

  • Журналы входа с управляемыми удостоверениями, которые содержат сведения об операциях входа ресурсов Azure, секретами которых управляет платформа Azure. См. сведения об управляемых удостоверениях для ресурсов Azure.

• Журналы аудита, которые содержат информацию о системных операциях, связанных с управлением пользователями и группами, управляемыми приложениями и действиями каталогов.

• Журналы подготовки (также в предварительной версии), содержащие сведения о системных действиях о пользователях, группах и ролях, подготовленных службой подготовки Microsoft Entra.

Важно!

Некоторые доступные типы журналов в настоящее время находятся в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Необходимые компоненты

• Для приема журналов входа в Microsoft Sentinel требуется лицензия Microsoft Entra ID P1 или P2. Для приема других типов журналов достаточно любой лицензии На идентификатор Microsoft Entra (бесплатная версия/O365/P1 или P2). Для Azure Monitor (Log Analytics) и Microsoft Sentinel может взиматься дополнительная плата за гигабайт.

• Пользователю необходимо назначить роль участника Microsoft Sentinel в рабочей области.

• Пользователю необходимо назначить роли глобального администратора или администратора безопасности на клиенте, с которого требуется выполнять потоковую передачу журналов.

• Для просмотра состояния подключения пользователь должен иметь разрешения на чтение и запись в параметры диагностики Microsoft Entra.

• Установите решение для идентификатора Microsoft Entra из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".

Подключение идентификатор Microsoft Entra

1. В меню навигации Microsoft Sentinel выберите Соединители данных.

2. В коллекции соединителей данных выберите идентификатор Microsoft Entra и выберите страницу "Открыть соединитель".

3. Установите флажки рядом с типами журналов, которые вы хотите передавать в Microsoft Sentinel (см. выше), и нажмите кнопку Подключить.

Поиск данных

Когда подключение будет установлено, данные появятся в области Журналы в разделе Управление журналами в следующих таблицах:

• SigninLogs
• AuditLogs
• AADNonInteractiveUserSignInLogs
• AADServicePrincipalSignInLogs
• AADManagedIdentitySignInLogs
• AADProvisioningLogs

Чтобы запросить журналы Microsoft Entra, введите соответствующее имя таблицы в верхней части окна запроса.

Следующие шаги

В этом документе вы узнали, как подключить идентификатор Microsoft Entra к Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Узнайте, как отслеживать свои данные и потенциальные угрозы.
• Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.