Microsoft Sentinel'e Microsoft Entra verilerini Bağlan

Microsoft Sentinel'in yerleşik bağlayıcısını kullanarak Microsoft Entra Id'den veri toplayabilir ve Microsoft Sentinel'e aktarabilirsiniz. Bağlayıcı aşağıdaki günlük türlerini akışla aktarmanıza olanak tanır:

• Kullanıcının kimlik doğrulama faktörü sağladığı etkileşimli kullanıcı oturum açma işlemleri hakkında bilgi içeren oturum açma günlükleri.

  Microsoft Entra bağlayıcısı artık şu anda ÖNIZLEME aşamasında olan aşağıdaki üç ek oturum açma günlüğü kategorisini içerir:

  • Etkileşimli olmayan kullanıcı oturum açma günlükleri, kullanıcıdan herhangi bir etkileşim veya kimlik doğrulama faktörü olmadan bir kullanıcı adına bir istemci tarafından gerçekleştirilen oturum açma işlemleri hakkında bilgi içerir.

  • Hiçbir kullanıcı içermeyen uygulamalar ve hizmet sorumluları tarafından yapılan oturum açma işlemleri hakkında bilgi içeren hizmet sorumlusu oturum açma günlükleri. Bu oturum açmalarda uygulama veya hizmet, kimlik doğrulaması yapmak veya kaynaklara erişmek için kendi adına bir kimlik bilgisi sağlar.

  • Azure tarafından yönetilen gizli dizileri olan Azure kaynakları tarafından yapılan oturum açma işlemleri hakkında bilgi içeren Yönetilen Kimlik oturum açma günlükleri. Daha fazla bilgi için bkz. Azure kaynakları için yönetilen kimlikler nelerdir?

• Kullanıcı ve grup yönetimi, yönetilen uygulamalar ve dizin etkinlikleriyle ilgili sistem etkinlikleri hakkında bilgi içeren denetim günlükleri.

• Microsoft Entra sağlama hizmeti tarafından sağlanan kullanıcılar, gruplar ve roller hakkında sistem etkinliği bilgilerini içeren sağlama günlükleri (önizleme aşamasındadır).

Önemli

Kullanılabilir günlük türlerinden bazıları şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Dekont

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Ön koşullar

• Oturum açma günlüklerini Microsoft Sentinel'e almak için Bir Microsoft Entra Id P1 veya P2 lisansı gerekir. Diğer günlük türlerini almak için tüm Microsoft Entra ID lisansları (Ücretsiz/O365/P1 veya P2) yeterlidir. Azure İzleyici (Log Analytics) ve Microsoft Sentinel için gigabayt başına ek ücretler uygulanabilir.

• Kullanıcınıza çalışma alanında Microsoft Sentinel Katkıda Bulunanı rolü atanmalıdır.

• Kullanıcınıza, günlüklerin akışını yapmak istediğiniz kiracıda Genel Yönetici oluşturucu veya Güvenlik Yönetici oluşturucu rolleri atanmalıdır.

• Bağlantı durumunu görebilmek için kullanıcınızın Microsoft Entra tanılama ayarlarında okuma ve yazma izinlerine sahip olması gerekir.

• Microsoft Sentinel'de İçerik Merkezi'nden Microsoft Entra Id çözümünü yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.

Microsoft Entra Id'ye Bağlan

1. Microsoft Sentinel'de gezinti menüsünden Veri bağlayıcıları'nı seçin.

2. Veri bağlayıcıları galerisinden Microsoft Entra ID'yi ve ardından Bağlayıcı sayfasını aç'ı seçin.

3. Microsoft Sentinel'e akışla aktarmak istediğiniz günlük türlerinin yanındaki onay kutularını işaretleyin (yukarıya bakın) ve Bağlan seçin.

Verilerinizi bulma

Başarılı bir bağlantı kurulduktan sonra veriler Aşağıdaki tablolarda LogManagement bölümünün altındaki Günlükler'de görünür:

• SigninLogs
• AuditLogs
• AADNonInteractiveUserSignInLogs
• AADServicePrincipalSignInLogs
• AADManagedIdentitySignInLogs
• AADProvisioningLogs

Microsoft Entra günlüklerini sorgulamak için sorgu penceresinin en üstüne ilgili tablo adını girin.

Sonraki adımlar

Bu belgede, Microsoft Entra Id'yi Microsoft Sentinel'e bağlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
• Microsoft Sentinel ile tehditleri algılamaya başlayın.