將 Microsoft Entra 資料連線至 Microsoft Sentinel
您可以使用 Microsoft Sentinel 的內建連接器,從 Microsoft Entra ID 收集資料,並將其串流至 Microsoft Sentinel。 連接器可讓您串流下列記錄類型:
登入記錄,其中包含使用者提供驗證要素之互動式使用者登入的相關信息。
Microsoft Entra 連接器現在包含下列三種其他類別的登入記錄,全都處於預覽狀態:
非互動式使用者登入記錄,其中包含代表用戶執行之用戶端登入的相關信息,而不需要用戶進行任何互動或驗證要素。
服務主體登入記錄,其中包含不涉及任何使用者之應用程式和服務主體登入的相關信息。 在這些登入中,應用程式或服務會以自己的名義提供認證,以驗證或存取資源。
受控識別登入記錄,其中包含由 Azure 資源所管理秘密的登入相關信息。 如需詳細資訊,請參閱什麼是 Azure 資源受控識別?
稽核記錄,其中包含與使用者和群組管理、受控應用程式和目錄活動相關的系統活動相關信息。
布建記錄 (也在預覽中),其中包含Microsoft Entra 布建服務所布建之使用者、群組和角色的系統活動資訊。
Microsoft Graph 活動記錄,其中包含透過 Microsoft Graph API 存取租用戶資源的 HTTP 要求相關信息。
重要
部分可用的記錄類型目前處於預覽狀態。 如需適用於 Beta、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款,請參閱適用於 azure 預覽版的補充使用規定Microsoft。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
必要條件
需要 Microsoft Entra ID P1 或 P2 授權,才能將登入記錄內嵌到 Microsoft Sentinel。 任何 Microsoft Entra ID 授權 (Free/O365/P1 或 P2) 就足以內嵌其他記錄類型。 其他每 GB 費用可能適用於 Azure 監視器 (Log Analytics) 和 Microsoft Sentinel。
您的用戶必須獲 指派工作區上Microsoft Sentinel 參與者 角色。
您的用戶必須在您想要串流記錄的租使用者上具有 安全性系統管理員 角色,或對等的許可權。
您的用戶必須具有Microsoft Entra 診斷設定的讀取和寫入許可權,才能查看連線狀態。
從Microsoft Sentinel 中的內容中樞安裝 Microsoft Entra 識別符的解決方案。 如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容。
連線至 Microsoft Entra ID
在 Microsoft Sentinel 中,從導覽功能表選取 [資料連接器]。
從數據連接器資源庫,選取 [Microsoft Entra ID ],然後選取 [ 開啟連接器] 頁面。
標記您要串流至 sentinel Microsoft記錄類型旁的複選框,然後選取 [ 連線]。
尋找資料
建立成功連線之後,數據會出現在LogManagement區段的Logs中,下表中:
SigninLogsAuditLogsAADNonInteractiveUserSignInLogsAADServicePrincipalSignInLogsAADManagedIdentitySignInLogsAADProvisioningLogsMSGraphActivityLogs
若要查詢Microsoft Entra 記錄,請在查詢視窗頂端輸入相關的數據表名稱。
下一步
在本檔中,您已瞭解如何將Microsoft Entra ID 連線到 sentinel Microsoft。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 學習如何洞察資料及潛在威脅。
- 開始 使用 Microsoft Sentinel 來偵測威脅。