Udostępnij za pośrednictwem


Łączenie danych firmy Microsoft Entra z usługą Microsoft Sentinel

Wbudowany łącznik usługi Microsoft Sentinel umożliwia zbieranie danych z identyfikatora Entra firmy Microsoft i przesyłanie strumieniowe ich do usługi Microsoft Sentinel. Łącznik umożliwia przesyłanie strumieniowe następujących typów dzienników:

  • Dzienniki logowania zawierające informacje o logowaniach interakcyjnych użytkowników, w których użytkownik udostępnia współczynnik uwierzytelniania.

    Łącznik Microsoft Entra obejmuje teraz następujące trzy dodatkowe kategorie dzienników logowania, które są obecnie dostępne w wersji zapoznawczej:

    • Nieinterakcyjne dzienniki logowania użytkownika, które zawierają informacje o logowaniach wykonywanych przez klienta w imieniu użytkownika bez żadnej interakcji lub współczynnika uwierzytelniania od użytkownika.

    • Dzienniki logowania jednostki usługi zawierające informacje o logowaniach według aplikacji i jednostek usługi, które nie obejmują żadnego użytkownika. W tych logowaniach aplikacja lub usługa udostępnia poświadczenia we własnym imieniu w celu uwierzytelniania zasobów lub uzyskiwania do nich dostępu.

    • Dzienniki logowania tożsamości zarządzanej zawierające informacje o logowaniach według zasobów platformy Azure, które mają wpisy tajne zarządzane przez platformę Azure. Aby uzyskać więcej informacji, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?

  • Dzienniki inspekcji zawierające informacje o aktywności systemu związane z zarządzaniem użytkownikami i grupami, aplikacjami zarządzanymi i działaniami katalogu.

  • Dzienniki aprowizacji (również w wersji ZAPOZNAWCZEJ), które zawierają informacje o aktywności systemu dotyczące użytkowników, grup i ról aprowizowania przez usługę aprowizacji firmy Microsoft.

  • Dzienniki aktywności programu Microsoft Graph zawierające informacje o żądaniach HTTP uzyskiwania dostępu do zasobów dzierżawy za pośrednictwem interfejsu API programu Microsoft Graph.

Ważne

Niektóre z dostępnych typów dzienników są obecnie dostępne w wersji ZAPOZNAWCZEJ. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z innymi warunkami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Wymagania wstępne

  • Do pozyskiwania dzienników logowania do usługi Microsoft Sentinel jest wymagana licencja Microsoft Entra ID P1 lub P2. Każda licencja microsoft Entra ID (Bezpłatna/O365/P1 lub P2) jest wystarczająca do pozyskiwania innych typów dzienników. Inne opłaty za gigabajt mogą dotyczyć usług Azure Monitor (Log Analytics) i Microsoft Sentinel.

  • Użytkownik musi mieć przypisaną rolę Współautor usługi Microsoft Sentinel w obszarze roboczym.

  • Użytkownik musi mieć rolę Administratora zabezpieczeń w dzierżawie, z której mają być przesyłane strumieniowo dzienniki lub równoważne uprawnienia.

  • Aby można było zobaczyć stan połączenia, użytkownik musi mieć uprawnienia odczytu i zapisu do ustawień diagnostycznych firmy Microsoft Entra.

  • Zainstaluj rozwiązanie dla identyfikatora Entra firmy Microsoft z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

Nawiązywanie połączenia z identyfikatorem entra firmy Microsoft

  1. W usłudze Microsoft Sentinel wybierz z menu nawigacji pozycję Łączniki danych.

  2. W galerii łączników danych wybierz pozycję Microsoft Entra ID , a następnie wybierz pozycję Otwórz stronę łącznika.

  3. Zaznacz pola wyboru obok typów dzienników, które chcesz przesłać strumieniowo do usługi Microsoft Sentinel, a następnie wybierz pozycję Połącz.

Znajdowanie danych

Po pomyślnym nawiązaniu połączenia dane są wyświetlane w obszarze Dzienniki w sekcji LogManagement w następujących tabelach:

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs
  • MSGraphActivityLogs

Aby wysłać zapytanie do dzienników firmy Microsoft Entra, wprowadź odpowiednią nazwę tabeli w górnej części okna zapytania.

Następne kroki

W tym dokumencie przedstawiono sposób łączenia identyfikatora Entra firmy Microsoft z usługą Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: