連線 Microsoft Entra 數據至 Microsoft Sentinel
您可以使用 Microsoft Sentinel 的內建連接器,從 Microsoft Entra ID 收集資料,並將其串流至 Microsoft Sentinel。 連接器可讓您串流下列記錄類型:
登入記錄,其中包含使用者提供驗證要素之互動式使用者登入的相關信息。
Microsoft Entra 連接器現在包含下列三個其他類別的登入記錄,全都處於預覽狀態:
非互動式使用者登入記錄,其中包含代表用戶執行之用戶端登入的相關信息,而不需要用戶進行任何互動或驗證要素。
服務主體登入記錄,其中包含不涉及任何使用者之應用程式和服務主體登入的相關信息。 在這些登入中,應用程式或服務會代表自己提供認證來驗證或存取資源。
受控識別登入記錄,其中包含由 Azure 資源所管理秘密的登入相關信息。 如需詳細資訊,請參閱什麼是 Azure 資源受控識別?
稽核記錄,其中包含與使用者和群組管理、受控應用程式和目錄活動相關的系統活動相關信息。
布建記錄 (也在預覽中),其中包含 Microsoft Entra 布建服務所布建之使用者、群組和角色的系統活動資訊。
Microsoft Graph 活動記錄,其中包含透過 Microsoft Graph API 存取租用戶資源的 HTTP 要求相關信息。
重要
部分可用的記錄類型目前處於預覽狀態。 如需適用於 Beta、預覽版或尚未發行至正式運作的 Azure 功能的其他法律條款,請參閱 Microsoft Azure 預覽版補充使用條款。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
必要條件
需要 Microsoft Entra ID P1 或 P2 授權,才能將登入記錄內嵌到 Microsoft Sentinel。 任何 Microsoft Entra ID 授權 (Free/O365/P1 或 P2) 就足以內嵌其他記錄類型。 其他每 GB 費用可能適用於 Azure 監視器 (Log Analytics) 和 Microsoft Sentinel。
您的用戶必須獲 指派工作區上的 Microsoft Sentinel 參與者 角色。
您必須在您要串流記錄的租使用者上,將全域 管理員 istrator 或 Security 管理員 istrator 角色指派給使用者。
您的用戶必須具有 Microsoft Entra 診斷設定的讀取和寫入許可權,才能查看連線狀態。
從 Microsoft Sentinel 中的內容中樞安裝 Microsoft Entra 識別碼的解決方案。 如需詳細資訊,請參閱 探索及管理現用的 Microsoft Sentinel 內容。
連線至 Microsoft Entra ID
在 Microsoft Sentinel 中,從導覽功能表選取 [資料連接器]。
從數據連接器資源庫,選取 [Microsoft Entra ID ],然後選取 [ 開啟連接器] 頁面。
標記您要串流至 Microsoft Sentinel 之記錄類型旁的複選框,然後選取 [連線]。
尋找資料
建立成功連線之後,數據會出現在LogManagement區段的Logs中,下表中:
SigninLogs
AuditLogs
AADNonInteractiveUserSignInLogs
AADServicePrincipalSignInLogs
AADManagedIdentitySignInLogs
AADProvisioningLogs
MSGraphActivityLogs
若要查詢 Microsoft Entra 記錄,請在查詢視窗頂端輸入相關的數據表名稱。
下一步
在本檔中,您已瞭解如何將 Microsoft Entra ID 連線至 Microsoft Sentinel。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 學習如何洞察資料及潛在威脅。
- 開始使用 Microsoft Sentinel 來偵測威脅。