Conectar dados do Microsoft Entra ao Microsoft Sentinel

Você pode usar o conector interno do Microsoft Sentinel para coletar dados do Microsoft Entra ID e transmiti-los para o Microsoft Sentinel. O conector permite transmitir os seguintes tipos de log:

Importante

Alguns dos tipos de log disponíveis estão atualmente em visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter outros termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Pré-requisitos

  • É necessária uma licença do Microsoft Entra ID P1 ou P2 para ingerir registos de início de sessão no Microsoft Sentinel. Qualquer licença do Microsoft Entra ID (Free/O365/P1 ou P2) é suficiente para ingerir os outros tipos de log. Outras cobranças por gigabyte podem ser aplicadas ao Azure Monitor (Log Analytics) e ao Microsoft Sentinel.

  • Seu usuário deve receber a função de Colaborador do Microsoft Sentinel no espaço de trabalho.

  • Seu usuário deve ter a função de Administrador de Segurança no locatário do qual você deseja transmitir os logs ou as permissões equivalentes.

  • Seu usuário deve ter permissões de leitura e gravação para as configurações de diagnóstico do Microsoft Entra para poder ver o status da conexão.

  • Instale a solução para o Microsoft Entra ID a partir do Content Hub no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.

Conectar-se ao Microsoft Entra ID

  1. No Microsoft Sentinel, selecione Conectores de dados no menu de navegação.

  2. Na galeria de conectores de dados, selecione Microsoft Entra ID e, em seguida, selecione Abrir página do conector.

  3. Marque as caixas de seleção ao lado dos tipos de log que você deseja transmitir para o Microsoft Sentinel e selecione Conectar.

Encontre os seus dados

Depois que uma conexão bem-sucedida é estabelecida, os dados aparecem em Logs, na seção LogManagement , nas tabelas a seguir:

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs
  • MSGraphActivityLogs

Para consultar os logs do Microsoft Entra, digite o nome da tabela relevante na parte superior da janela de consulta.

Próximos passos

Neste documento, você aprendeu como conectar o Microsoft Entra ID ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: