分享方式:


將 Microsoft Entra 資料連線至 Microsoft Sentinel

您可以使用 Microsoft Sentinel 的內建連接器,從 Microsoft Entra ID 收集資料,並將其串流至 Microsoft Sentinel。 連接器可讓您串流下列記錄類型:

  • 登入記錄,其中包含使用者提供驗證要素之互動式使用者登入的相關信息。

    Microsoft Entra 連接器現在包含下列三種其他類別的登入記錄,全都處於預覽狀態

  • 稽核記錄,其中包含與使用者和群組管理、受控應用程式和目錄活動相關的系統活動相關信息。

  • 布建記錄 (也在預覽),其中包含Microsoft Entra 布建服務所布建之使用者、群組和角色的系統活動資訊。

  • Microsoft Graph 活動記錄,其中包含透過 Microsoft Graph API 存取租用戶資源的 HTTP 要求相關信息。

重要

部分可用的記錄類型目前處於預覽狀態如需適用於 Beta、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款,請參閱適用於 azure 預覽版的補充使用規定Microsoft。

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

必要條件

  • 需要 Microsoft Entra ID P1 或 P2 授權,才能將登入記錄內嵌到 Microsoft Sentinel。 任何 Microsoft Entra ID 授權 (Free/O365/P1 或 P2) 就足以內嵌其他記錄類型。 其他每 GB 費用可能適用於 Azure 監視器 (Log Analytics) 和 Microsoft Sentinel。

  • 您的用戶必須獲 指派工作區上Microsoft Sentinel 參與者 角色。

  • 您的用戶必須在您想要串流記錄的租使用者上具有 安全性系統管理員 角色,或對等的許可權。

  • 您的用戶必須具有Microsoft Entra 診斷設定的讀取和寫入許可權,才能查看連線狀態。

  • 從Microsoft Sentinel 中的內容中樞安裝 Microsoft Entra 識別符的解決方案。 如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容

連線至 Microsoft Entra ID

  1. 在 Microsoft Sentinel 中,從導覽功能表選取 [資料連接器]

  2. 從數據連接器資源庫,選取 [Microsoft Entra ID ],然後選取 [ 開啟連接器] 頁面

  3. 標記您要串流至 sentinel Microsoft記錄類型旁的複選框,然後選取 [ 連線]。

尋找資料

建立成功連線之後,數據會出現在LogManagement區段的Logs中,下表中:

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs
  • MSGraphActivityLogs

若要查詢Microsoft Entra 記錄,請在查詢視窗頂端輸入相關的數據表名稱。

下一步

在本檔中,您已瞭解如何將Microsoft Entra ID 連線到 sentinel Microsoft。 若要深入了解 Microsoft Sentinel,請參閱下列文章: