Verbinden von Microsoft Entra-Daten mit Microsoft Sentinel

  • Artikel

Sie können den integrierten Connector von Microsoft Sentinel verwenden, um Daten aus Microsoft Entra ID zu sammeln und in Microsoft Sentinel zu übertragen. Der Connector ermöglicht das Streamen folgender Protokolltypen:

  • Anmeldeprotokolle: Diese Protokolle enthalten Informationen zu interaktiven Benutzeranmeldungen, bei denen ein Benutzer einen Authentifizierungsfaktor bereitstellt.

    Der Microsoft Entra-Connector beinhaltet nun drei zusätzliche Kategorien von Anmeldeprotokollen (aktuell in der VORSCHAU):

  • Überwachungsprotokolle: Diese Protokolle enthalten Informationen zu Systemaktivitäten im Zusammenhang mit der Benutzer- und Gruppenverwaltung, mit verwalteten Anwendungen und mit Verzeichnisaktivitäten.

  • Bereitstellungsprotokolle (ebenfalls in der VORSCHAU): Diese Protokolle enthalten Informationen zu Systemaktivitäten im Zusammenhang mit Benutzern, Gruppen und Rollen, die durch den Microsoft Entra-Bereitstellungsdienst bereitgestellt werden.

  • Microsoft Graph-Aktivitätsprotokolle: Diese Protokolle enthalten Informationen zu HTTP-Anforderungen, die über die Microsoft Graph-API auf die Ressourcen Ihres Mandanten zugreifen.

Wichtig

Es befinden sich einige der verfügbaren Protokolltypen derzeit in der VORSCHAUPHASE. Ergänzende Nutzungsbedingungen für Microsoft Azure-Vorschauversionen enthalten weitere rechtliche Bedingungen. Sie gelten für die Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Voraussetzungen

  • Zum Aufnehmen von Anmeldeprotokollen in Microsoft Sentinel ist eine Microsoft Entra ID P1- oder P2-Lizenz erforderlich. Jede Microsoft Entra ID-Lizenz (Free/O365/P1 oder P2) reicht aus, um die anderen Protokolltypen aufzunehmen. Für Azure Monitor (Log Analytics) und Microsoft Sentinel können sonstige Gebühren pro Gigabyte anfallen.

  • Ihrem Benutzer muss die Rolle Microsoft Sentinel Contributor für den Arbeitsbereich zugewiesen sein.

  • Ihr Benutzer muss über die Rolle Sicherheitsadministrator für den Mandanten verfügen, aus dem Sie die Protokolle streamen möchten, oder über die entsprechenden Berechtigungen.

  • Ihr Benutzer muss über Lese- und Schreibberechtigungen für die Microsoft Entra-Diagnoseeinstellungen verfügen, um den Verbindungsstatus sehen zu können.

  • Installieren Sie die Lösung für Microsoft Entra ID aus dem Content Hub in Microsoft Sentinel. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.

Herstellen einer Verbindung mit Microsoft Entra ID

  1. Wählen Sie in Microsoft Sentinel im Navigationsmenü die Option Datenverbindungen.

  2. Wählen Sie im Katalog für Datenconnectors Microsoft Entra ID aus, und klicken Sie anschließend auf Connectorseite öffnen.

  3. Aktivieren Sie die Kontrollkästchen neben den Protokolltypen, die Sie an Microsoft Sentinel übertragen möchten, und wählen Sie Verbinden aus.

Suchen von Daten

Nachdem eine erfolgreiche Verbindung hergestellt wurde, werden die Daten in Protokolle unter LogManagement in den folgenden Tabellen angezeigt:

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs
  • MSGraphActivityLogs

Geben Sie zum Abfragen der Microsoft Entra-Protokolle im oberen Bereich des Abfragefensters den Tabellennamen ein.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie Microsoft Entra ID mit Microsoft Sentinel verbinden. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln: