Anslut Microsoft Entra-data till Microsoft Sentinel
Du kan använda Microsoft Sentinels inbyggda anslutningsapp för att samla in data från Microsoft Entra-ID och strömma dem till Microsoft Sentinel. Med anslutningsappen kan du strömma följande loggtyper:
Inloggningsloggar som innehåller information om interaktiva användarinloggningar där en användare tillhandahåller en autentiseringsfaktor.
Microsoft Entra-anslutningsappen innehåller nu följande tre ytterligare kategorier av inloggningsloggar, alla för närvarande i FÖRHANDSVERSION:
Inloggningsloggar för icke-interaktiva användare, som innehåller information om inloggningar som utförs av en klient för en användares räkning utan någon interaktion eller autentiseringsfaktor från användaren.
Inloggningsloggar för tjänstens huvudnamn, som innehåller information om inloggningar av appar och tjänstens huvudnamn som inte involverar någon användare. I dessa inloggningar tillhandahåller appen eller tjänsten en autentiseringsuppgift för egen räkning för att autentisera eller komma åt resurser.
Inloggningsloggar för hanterad identitet, som innehåller information om inloggningar från Azure-resurser som har hemligheter som hanteras av Azure. Mer information finns i Vad är hanterade identiteter för Azure-resurser?
Granskningsloggar, som innehåller information om systemaktivitet som rör användar- och grupphantering, hanterade program och katalogaktiviteter.
Etableringsloggar (även i förhandsversion), som innehåller systemaktivitetsinformation om användare, grupper och roller som etablerats av Microsoft Entra-etableringstjänsten.
Viktigt!
Vissa av de tillgängliga loggtyperna finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Kommentar
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.
Förutsättningar
En Microsoft Entra ID P1- eller P2-licens krävs för att mata in inloggningsloggar i Microsoft Sentinel. Alla Microsoft Entra-ID-licenser (Kostnadsfri/O365/P1 eller P2) räcker för att mata in de andra loggtyperna. Ytterligare avgifter per gigabyte kan tillkomma för Azure Monitor (Log Analytics) och Microsoft Sentinel.
Användaren måste tilldelas rollen Microsoft Sentinel-deltagare på arbetsytan.
Användaren måste tilldelas rollerna Global administratör eller Säkerhetsadministratör på den klientorganisation som du vill strömma loggarna från.
Användaren måste ha läs- och skrivbehörighet till Diagnostikinställningarna för Microsoft Entra för att kunna se anslutningsstatusen.
Installera lösningen för Microsoft Entra-ID från Innehållshubben i Microsoft Sentinel. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.
Anslut till Microsoft Entra-ID
I Microsoft Sentinel väljer du Dataanslutningsprogram i navigeringsmenyn.
I galleriet för dataanslutningsappar väljer du Microsoft Entra-ID och väljer sedan Sidan Öppna anslutningsapp.
Markera kryssrutorna bredvid de loggtyper som du vill strömma till Microsoft Sentinel (se ovan) och välj Anslut.
Hitta dina data
När en lyckad anslutning har upprättats visas data i Loggar under avsnittet LogManagement i följande tabeller:
SigninLogsAuditLogsAADNonInteractiveUserSignInLogsAADServicePrincipalSignInLogsAADManagedIdentitySignInLogsAADProvisioningLogs
Om du vill köra frågor mot Microsoft Entra-loggarna anger du det relevanta tabellnamnet överst i frågefönstret.
Nästa steg
I det här dokumentet har du lärt dig hur du ansluter Microsoft Entra-ID till Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar:
- Lär dig hur du får insyn i dina data och potentiella hot.
- Kom igång med att identifiera hot med Microsoft Sentinel.