Microsoft Entra データを Microsoft Sentinel に接続する

Microsoft Sentinel の組み込みコネクタを使用して、Microsoft Entra ID からデータを収集し、それを Microsoft Sentinel にストリーミングできます。 コネクタを使用すると、次の種類のログをストリーミングできます。

• サインイン ログには、ユーザーが認証要素を提供する対話型ユーザー サインインに関する情報が含まれています。

  Microsoft Entra コネクタには、次の 3 つの追加カテゴリのサインイン ログが含まれるようになりました。現時点ではすべてプレビュー段階です。

  • 対話型ではないユーザー サインイン ログには、ユーザーからの操作や認証の要因なしで、ユーザーに代わってクライアントによって実行されるサインインに関する情報が含まれています。

  • サービス プリンシパルのサインイン ログには、ユーザーが関与しないアプリとサービス プリンシパルによるサインインに関する情報が含まれています。 このサインインの場合、認証またはリソースへのアクセス用の資格情報が、アプリまたはサービスによって、それ自身のために提供されます。

  • マネージド ID サインイン ログには、Azure によってシークレットが管理されている Azure リソースによるサインインに関する情報が含まれています。 詳細については、「Azure リソースのマネージド ID とは」を参照してください。

• 監査ログには、ユーザーとグループの管理、マネージド アプリケーション、およびディレクトリ アクティビティに関連するシステムの利用状況に関する情報が含まれています。

• プロビジョニング ログ (プレビュー) には、Microsoft Entra プロビジョニング サービスによってプロビジョニングされたユーザー、グループ、ロールに関するシステム アクティビティ情報が含まれています。

• Microsoft Graph アクティビティ ログには、Microsoft Graph API を介してテナントのリソースにアクセスする際の HTTP 要求に関する情報が含まれます。

重要

使用可能なログの種類の一部は現在 PREVIEW 段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

前提条件

• サインイン ログを Microsoft Sentinel に取り込むには、Microsoft Entra ID P1 または P2 ライセンスが必要です。 他の種類のログを取り込む場合、任意の Microsoft Entra ID ライセンス (Free/O365/P1 または P2) で十分です。 Azure Monitor (Log Analytics) と Microsoft Sentinel には、他のギガバイト単位の料金が適用される場合があります。

• ユーザーには、ワークスペースの Microsoft Azure Sentinel 共同作成者ロールを割り当てる必要があります。

• ユーザーには、ログをストリーミングするテナントのセキュリティ管理者ロール、または同等のアクセス許可が必要です。

• 接続の状態を確認できるようにするために、ユーザーは Microsoft Entra 診断設定に対する読み取りおよび書き込みアクセス許可を持っている必要があります。

• Microsoft Sentinel のコンテンツ ハブから Microsoft Entra ID 用のソリューションをインストールします。 詳細については、「Microsoft Sentinel のすぐに利用できるコンテンツを検出して管理する」を参照してください。

Microsoft Entra ID に接続する

1. Microsoft Azure Sentinel で、ナビゲーション メニューから [データ コネクタ] を選択します。

2. データ コネクタ ギャラリーで、[Microsoft Entra ID] を選択して、[コネクタ ページを開く] を選択します。

3. Microsoft Sentinel にストリーミングするログの種類の隣のチェック ボックスをオンにして、[接続] を選択します。

データの検索

接続が正常に確立されると、次のテーブルの [LogManagement] セクションの下にある [ログ] にデータが表示されます。

• SigninLogs
• AuditLogs
• AADNonInteractiveUserSignInLogs
• AADServicePrincipalSignInLogs
• AADManagedIdentitySignInLogs
• AADProvisioningLogs
• MSGraphActivityLogs

Microsoft Entra ログを照会するには、クエ リ ウィンドウの上部に関連テーブル名を入力します。

次のステップ

このドキュメントでは、Microsoft Entra ID を Microsoft Sentinel に接続する方法について学習しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。

• データと潜在的な脅威を可視化する方法についての説明。
• Microsoft Sentinel を使用した脅威の検出の概要。