你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Microsoft Entra 数据 连接到 Microsoft Sentinel
可使用 Microsoft Sentinel 的内置连接器从 Microsoft Entra ID 收集数据,并将数据流式传输到 Microsoft Sentinel。 通过使用连接器,可以流式传输以下日志类型:
登录日志,包含用户提供身份验证因子的交互式用户登录信息。
Microsoft Entra 连接器包含以下三个其他类别的登录日志,当前为预览版:
非交互式用户登录日志,包含了客户端代表用户进行登录的信息,没有来自用户的任何交互或身份验证因素。
服务主体登录日志,包含了应用程序和服务主体登录信息,不涉及任何用户。 在此类登录中,应用或服务代表自己提供对资源进行身份验证或访问所需的凭据。
托管标识登录日志,包含了 Azure 资源的登录信息,这些资源包含由 azure 管理的机密信息。 有关详细信息,请参阅什么是 Azure 资源的托管标识?
审核日志,包含了有关用户和组管理、托管应用程序和目录活动的系统活动信息。
预配日志(也是预览版),包含了有关 Microsoft Entra 预配服务预配的用户、组和角色的系统活动信息。
Microsoft Graph 活动日志,其中包含通过 Microsoft Graph API 访问你的租户资源的 HTTP 请求的相关信息。
重要
某些可用的日志类型目前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的其他法律条款,请参阅 Microsoft Azure 预览版的补充使用条款。
注意
有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。
先决条件
将登录日志引入 Microsoft Sentinel 需要 Microsoft Entra ID P1 或 P2 许可证。 任何 Microsoft Entra ID 许可证(免费/O365/P1 或 P2)均足以引入其他日志类型。 对于 Azure Monitor (Log Analytics) 和 Microsoft Sentinel,可能会按每 GB 收取其他费用。
必须在工作区中为你的用户分配 Microsoft Sentinel 参与者角色。
用户必须在你要从中流式传输日志的租户上拥有安全管理员角色,或拥有同等的权限。
用户必须具有对 Microsoft Entra 诊断设置进行读取和写入的权限,才能查看连接状态。
从 Microsoft Sentinel 中的内容中心安装 Microsoft Entra ID 的解决方案。 有关详细信息,请参阅发现和管理 Microsoft Sentinel 的现成内容。
连接到 Microsoft Entra ID
在 Microsoft Sentinel 导航菜单中,选择“数据连接器”。
在数据连接器库中选择“Microsoft Entra ID”,然后选择“打开连接器”页。
勾选要流式传输到 Microsoft Sentinel 的日志类型旁的复选框,然后选择“连接”。
查找数据
成功建立连接后,数据将显示在“日志管理”部分下的“日志”中,如下表:
SigninLogsAuditLogsAADNonInteractiveUserSignInLogsAADServicePrincipalSignInLogsAADManagedIdentitySignInLogsAADProvisioningLogsMSGraphActivityLogs
如要查询 Microsoft Entra 日志,请在“查询”窗口的顶部输入相关表名称。
后续步骤
本文档介绍了如何将 Microsoft Entra ID 连接到 Microsoft Sentinel。 若要详细了解 Microsoft Sentinel,请参阅以下文章:
- 了解如何洞悉数据和潜在威胁。
- 开始使用 Microsoft Sentinel 检测威胁。