Поделиться через

Подключение данных Microsoft Entra к Microsoft Sentinel

  • Статья

Встроенный соединитель Microsoft Sentinel можно использовать для сбора данных из идентификатора Microsoft Entra и потоковой передачи данных в Microsoft Sentinel. Соединитель позволяет выполнять потоковую передачу следующих типов журналов:

  • Журналы входа, содержащие сведения об интерактивных входах пользователей, при которых пользователь предоставляет фактор проверки подлинности.

    Соединитель Microsoft Entra теперь включает следующие три дополнительные категории журналов входа, все в настоящее время в предварительной версии:

  • Журналы аудита, которые содержат информацию о системных операциях, связанных с управлением пользователями и группами, управляемыми приложениями и действиями каталогов.

  • Журналы подготовки (также в предварительной версии), содержащие сведения о системных действиях о пользователях, группах и ролях, подготовленных службой подготовки Microsoft Entra.

  • Журналы действий Microsoft Graph, содержащие сведения о HTTP-запросах, обращаюющихся к ресурсам клиента через API Microsoft Graph.

Внимание

Некоторые доступные типы журналов в настоящее время находятся в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure см. в других юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Необходимые компоненты

  • Для приема журналов входа в Microsoft Sentinel требуется лицензия Microsoft Entra ID P1 или P2. Для приема других типов журналов достаточно любой лицензии На идентификатор Microsoft Entra (бесплатная версия/O365/P1 или P2). Другие расходы за гигабайты могут применяться для Azure Monitor (Log Analytics) и Microsoft Sentinel.

  • Пользователю необходимо назначить роль участника Microsoft Sentinel в рабочей области.

  • У пользователя должна быть роль администратора безопасности в клиенте, из которого требуется потоковая передача журналов или эквивалентные разрешения.

  • Для просмотра состояния подключения пользователь должен иметь разрешения на чтение и запись в параметры диагностики Microsoft Entra.

  • Установите решение для идентификатора Microsoft Entra из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".

Подключение к идентификатору Microsoft Entra

  1. В меню навигации Microsoft Sentinel выберите Соединители данных.

  2. В коллекции соединителей данных выберите идентификатор Microsoft Entra и выберите страницу "Открыть соединитель".

  3. Пометьте флажки рядом с типами журналов, которые вы хотите передавать в Microsoft Sentinel, и нажмите кнопку Connect.

Поиск данных

Когда подключение будет установлено, данные появятся в области Журналы в разделе Управление журналами в следующих таблицах:

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs
  • MSGraphActivityLogs

Чтобы запросить журналы Microsoft Entra, введите соответствующее имя таблицы в верхней части окна запроса.

Следующие шаги

В этом документе вы узнали, как подключить идентификатор Microsoft Entra к Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: