Delen via

Microsoft Entra-gegevens verbinden met Microsoft Sentinel

  • Artikel

U kunt de ingebouwde connector van Microsoft Sentinel gebruiken om gegevens van Microsoft Entra ID te verzamelen en naar Microsoft Sentinel te streamen. Met de connector kunt u de volgende logboektypen streamen:

  • Aanmeldingslogboeken, die informatie bevatten over interactieve gebruikersaanmelding, waarbij een gebruiker een verificatiefactor biedt.

    De Microsoft Entra-connector bevat nu de volgende drie extra categorieën aan aanmeldingslogboeken, allemaal in PREVIEW:

    • Niet-interactieve aanmeldingslogboeken van gebruikers, die informatie bevatten over aanmeldingen die door een client namens een gebruiker worden uitgevoerd zonder tussenkomst of verificatiefactor van de gebruiker.

    • Aanmeldingslogboeken van de service-principal, die informatie bevatten over aanmeldingen door apps en service-principals die geen gebruiker omvatten. In deze aanmeldingen geeft de app of service namens zichzelf een referentie om resources te verifiëren of te openen.

    • Aanmeldingslogboeken voor beheerde identiteiten, die informatie bevatten over aanmeldingen door Azure-resources met geheimen die worden beheerd door Azure. Zie Wat zijn beheerde identiteiten voor Azure-resources? voor meer informatie.

  • Auditlogboeken, die informatie bevatten over systeemactiviteiten met betrekking tot gebruikers- en groepsbeheer, beheerde toepassingen en directory-activiteiten.

  • Inrichtingslogboeken (ook in PREVIEW), die systeemactiviteitsgegevens bevatten over gebruikers, groepen en rollen die zijn ingericht door de Microsoft Entra-inrichtingsservice.

  • Microsoft Graph-activiteitenlogboeken, die informatie bevatten over HTTP-aanvragen die toegang hebben tot de resources van uw tenant via de Microsoft Graph API.

Belangrijk

Sommige van de beschikbare logboektypen zijn momenteel beschikbaar in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor andere juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Vereisten

  • Een Microsoft Entra ID P1- of P2-licentie is vereist voor het opnemen van aanmeldingslogboeken bij Microsoft Sentinel. Elke Microsoft Entra ID-licentie (Free/O365/P1 of P2) is voldoende om de andere logboektypen op te nemen. Andere kosten per gigabyte kunnen van toepassing zijn op Azure Monitor (Log Analytics) en Microsoft Sentinel.

  • Aan uw gebruiker moet de rol Microsoft Sentinel-inzender zijn toegewezen in de werkruimte.

  • Uw gebruiker moet de rol Beveiligingsbeheerder hebben voor de tenant waaruit u de logboeken wilt streamen of de equivalente machtigingen.

  • Uw gebruiker moet lees- en schrijfmachtigingen hebben voor de diagnostische instellingen van Microsoft Entra om de verbindingsstatus te kunnen zien.

  • Installeer de oplossing voor Microsoft Entra-id vanuit de Content Hub in Microsoft Sentinel. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.

Verbinding maken met Microsoft Entra-id

  1. Selecteer Gegevensconnectors in het navigatiemenu in Microsoft Sentinel.

  2. Selecteer Microsoft Entra ID in de galerie met gegevensconnectors en selecteer vervolgens de pagina Connector openen.

  3. Schakel de selectievakjes in naast de logboektypen die u wilt streamen naar Microsoft Sentinel en selecteer Verbinding maken.

Uw gegevens zoeken

Nadat een verbinding tot stand is gebracht, worden de gegevens weergegeven in Logboeken, onder de sectie LogManagement , in de volgende tabellen:

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs
  • MSGraphActivityLogs

Als u een query wilt uitvoeren op de Microsoft Entra-logboeken, voert u de relevante tabelnaam boven aan het queryvenster in.

Volgende stappen

In dit document hebt u geleerd hoe u Microsoft Entra ID verbindt met Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: