Łączenie danych firmy Microsoft Entra z usługą Microsoft Sentinel
Wbudowany łącznik usługi Microsoft Sentinel umożliwia zbieranie danych z identyfikatora Entra firmy Microsoft i przesyłanie strumieniowe ich do usługi Microsoft Sentinel. Łącznik umożliwia przesyłanie strumieniowe następujących typów dzienników:
Dzienniki logowania zawierające informacje o logowaniach interakcyjnych użytkowników, w których użytkownik udostępnia współczynnik uwierzytelniania.
Łącznik Microsoft Entra obejmuje teraz następujące trzy dodatkowe kategorie dzienników logowania, które są obecnie dostępne w wersji zapoznawczej:
Nieinterakcyjne dzienniki logowania użytkownika, które zawierają informacje o logowaniach wykonywanych przez klienta w imieniu użytkownika bez żadnej interakcji lub współczynnika uwierzytelniania od użytkownika.
Dzienniki logowania jednostki usługi zawierające informacje o logowaniach według aplikacji i jednostek usługi, które nie obejmują żadnego użytkownika. W tych logowaniach aplikacja lub usługa udostępnia poświadczenia we własnym imieniu w celu uwierzytelniania zasobów lub uzyskiwania do nich dostępu.
Dzienniki logowania tożsamości zarządzanej zawierające informacje o logowaniach według zasobów platformy Azure, które mają wpisy tajne zarządzane przez platformę Azure. Aby uzyskać więcej informacji, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?
Dzienniki inspekcji zawierające informacje o aktywności systemu związane z zarządzaniem użytkownikami i grupami, aplikacjami zarządzanymi i działaniami katalogu.
Dzienniki aprowizacji (również w wersji ZAPOZNAWCZEJ), które zawierają informacje o aktywności systemu dotyczące użytkowników, grup i ról aprowizowania przez usługę aprowizacji firmy Microsoft.
Dzienniki aktywności programu Microsoft Graph zawierające informacje o żądaniach HTTP uzyskiwania dostępu do zasobów dzierżawy za pośrednictwem interfejsu API programu Microsoft Graph.
Ważne
Niektóre z dostępnych typów dzienników są obecnie dostępne w wersji ZAPOZNAWCZEJ. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z innymi warunkami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.
Wymagania wstępne
Do pozyskiwania dzienników logowania do usługi Microsoft Sentinel jest wymagana licencja Microsoft Entra ID P1 lub P2. Każda licencja microsoft Entra ID (Bezpłatna/O365/P1 lub P2) jest wystarczająca do pozyskiwania innych typów dzienników. Inne opłaty za gigabajt mogą dotyczyć usług Azure Monitor (Log Analytics) i Microsoft Sentinel.
Użytkownik musi mieć przypisaną rolę Współautor usługi Microsoft Sentinel w obszarze roboczym.
Użytkownik musi mieć rolę Administratora zabezpieczeń w dzierżawie, z której mają być przesyłane strumieniowo dzienniki lub równoważne uprawnienia.
Aby można było zobaczyć stan połączenia, użytkownik musi mieć uprawnienia odczytu i zapisu do ustawień diagnostycznych firmy Microsoft Entra.
Zainstaluj rozwiązanie dla identyfikatora Entra firmy Microsoft z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.
Nawiązywanie połączenia z identyfikatorem entra firmy Microsoft
W usłudze Microsoft Sentinel wybierz z menu nawigacji pozycję Łączniki danych.
W galerii łączników danych wybierz pozycję Microsoft Entra ID , a następnie wybierz pozycję Otwórz stronę łącznika.
Zaznacz pola wyboru obok typów dzienników, które chcesz przesłać strumieniowo do usługi Microsoft Sentinel, a następnie wybierz pozycję Połącz.
Znajdowanie danych
Po pomyślnym nawiązaniu połączenia dane są wyświetlane w obszarze Dzienniki w sekcji LogManagement w następujących tabelach:
SigninLogs
AuditLogs
AADNonInteractiveUserSignInLogs
AADServicePrincipalSignInLogs
AADManagedIdentitySignInLogs
AADProvisioningLogs
MSGraphActivityLogs
Aby wysłać zapytanie do dzienników firmy Microsoft Entra, wprowadź odpowiednią nazwę tabeli w górnej części okna zapytania.
Następne kroki
W tym dokumencie przedstawiono sposób łączenia identyfikatora Entra firmy Microsoft z usługą Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:
- Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
- Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.