Připojení dat Microsoft Entra k Microsoft Sentinelu
Pomocí integrovaného konektoru Microsoft Sentinelu můžete shromažďovat data z ID Microsoft Entra a streamovat je do Microsoft Sentinelu. Konektor umožňuje streamovat následující typy protokolů:
Protokoly přihlášení, které obsahují informace o interaktivních přihlášeních uživatelů, kde uživatel poskytuje ověřovací faktor.
Konektor Microsoft Entra teď obsahuje následující tři další kategorie protokolů přihlašování, všechny aktuálně ve verzi PREVIEW:
Neinteraktivní protokoly přihlašování uživatelů, které obsahují informace o přihlášeních provedených klientem jménem uživatele bez jakékoli interakce nebo ověřovacího faktoru od uživatele.
Protokoly přihlašování instančního objektu, které obsahují informace o přihlášení aplikací a instančních objektů, které nezahrnují žádného uživatele. V těchto přihlášeních aplikace nebo služba poskytuje přihlašovací údaje vlastním jménem pro ověřování nebo přístup k prostředkům.
Protokoly přihlašování spravované identity, které obsahují informace o přihlášení pomocí prostředků Azure, které mají tajné kódy spravované v Azure. Další informace najdete v tématu Co jsou spravované identity pro prostředky Azure?
Protokoly auditu, které obsahují informace o systémové aktivitě související se správou uživatelů a skupin, spravovanými aplikacemi a adresářovými aktivitami.
Protokoly zřizování (také ve verzi PREVIEW), které obsahují informace o systémové aktivitě o uživatelích, skupinách a rolích zřízených službou Zřizování Microsoft Entra.
Protokoly aktivit Microsoft Graphu, které obsahují informace o požadavcích HTTP, které přistupují k prostředkům vašeho tenanta prostřednictvím rozhraní Microsoft Graph API.
Důležité
Některé dostupné typy protokolů jsou aktuálně ve verzi PREVIEW. Další právní podmínky použití pro Microsoft Azure Preview najdete v dalších právních podmínkách, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo jinak ještě nebyly vydány v obecné dostupnosti.
Poznámka:
Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.
Požadavky
K ingestování přihlašovacích protokolů do Služby Microsoft Sentinel se vyžaduje licence Microsoft Entra ID P1 nebo P2. Jakákoli licence Microsoft Entra ID (Free/O365/P1 nebo P2) stačí k ingestování ostatních typů protokolů. U služby Azure Monitor (Log Analytics) a Microsoft Sentinelu se můžou účtovat další poplatky za gigabajt.
Uživatel musí mít v pracovním prostoru přiřazenou roli Přispěvatel Microsoft Sentinelu.
Uživatel musí mít v tenantovi roli Správce zabezpečení, ze kterého chcete protokoly streamovat, nebo ekvivalentní oprávnění.
Aby uživatel mohl zobrazit stav připojení, musí mít oprávnění ke čtení a zápisu do nastavení diagnostiky Microsoft Entra.
Nainstalujte řešení pro Microsoft Entra ID z centra obsahu v Microsoft Sentinelu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.
Připojení k MICROSOFT Entra ID
Ve službě Microsoft Sentinel vyberte v navigační nabídce Datové konektory.
V galerii datových konektorů vyberte MICROSOFT Entra ID a pak vyberte Otevřít stránku konektoru.
Zaškrtněte políčka vedle typů protokolů, které chcete streamovat do Microsoft Sentinelu, a vyberte Připojit.
Vyhledání dat
Po úspěšném připojení se data zobrazí v protokolech v části LogManagement v následujících tabulkách:
SigninLogsAuditLogsAADNonInteractiveUserSignInLogsAADServicePrincipalSignInLogsAADManagedIdentitySignInLogsAADProvisioningLogsMSGraphActivityLogs
Pokud chcete dotazovat protokoly Microsoft Entra, zadejte v horní části okna dotazu příslušný název tabulky.
Další kroky
V tomto dokumentu jste zjistili, jak připojit Microsoft Entra ID k Microsoft Sentinelu. Další informace o službě Microsoft Sentinel najdete v následujících článcích:
- Zjistěte, jak získat přehled o datech a potenciálních hrozbách.
- Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel.