Compartilhar via

Conectar os dados do Microsoft Entra ao Microsoft Sentinel

  • Artigo

Você pode usar o conector integrado do Microsoft Sentinel para coletar dados do Microsoft Entra ID e transmitir para o Microsoft Sentinel. O conector permite transmitir os seguintes tipos de log:

  • Logs de conexão, que contêm informações sobre as conexões interativas do usuário nas quais um usuário fornece um fator de autenticação.

    O conector do Microsoft Entra agora inclui as três seguintes categorias adicionais de logs de entrada, todas atualmente em VERSÃO PRÉVIA:

  • Logs de auditoria: fornece informações da atividade do sistema sobre o gerenciamento de usuários e grupos, além de aplicativos gerenciados e atividades de diretório.

  • Logs de provisionamento (também em VERSÃO PRÉVIA), que contêm informações de atividade do sistema sobre usuários, grupos e funções provisionados pelo serviço de provisionamento do Microsoft Entra.

  • Logs de atividades do Microsoft Graph, que contêm informações sobre solicitações HTTP que acessam os recursos do locatário por meio da API do Microsoft Graph.

Importante

Alguns dos tipos de log disponíveis estão em VERSÃO PRÉVIA no momento. Confira os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para ver outros termos legais que se aplicam aos recursos do Azure em versão beta, versão prévia ou ainda não lançados em disponibilidade geral.

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Pré-requisitos

  • Uma licença P1 ou P2 do Microsoft Entra ID é necessária para ingerir logs de entrada no Microsoft Sentinel. Qualquer licença do Microsoft Entra ID (gratuito/O365/P1/P2) é suficiente para ingerir os outros tipos de log. Outros encargos por gigabyte podem ser aplicados ao Azure Monitor (Log Analytics) e ao Microsoft Sentinel.

  • Deve ser atribuída ao usuário a função de Colaborador do Microsoft Sentinel no workspace.

  • Seu usuário deve ter a função Administrador de Segurança no locatário do qual você quer transmitir os logs ou as permissões equivalentes.

  • Seu usuário deve ter permissões de leitura e gravação em relação às configurações de diagnóstico do Microsoft Entra para poder ver o status da conexão.

  • Instale a solução para Microsoft Entra ID a partir do Hub de Conteúdos no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.

Conectar Microsoft Entra ID

  1. No Microsoft Sentinel, selecione Conectores de dados no menu de navegação.

  2. Na galeria de Conectores de dados, selecione Microsoft Entra ID e, depois, a Abrir página do conector.

  3. Marque as caixas de seleção ao lado dos tipos de log que você deseja transmitir para o Microsoft Sentinel e selecione Conectar.

Localizar seus dados

Depois que uma conexão bem-sucedida for estabelecida, os dados serão exibidos nos Logs na seção LogsManagement nas seguintes tabela:

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs
  • MSGraphActivityLogs

Para consultar os logs do Microsoft Entra, insira o nome da tabela relevante na parte superior da janela de consulta.

Próximas etapas

Neste documento, você aprendeu a conectar o Microsoft Entra ID ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: