Подключение данных Microsoft Entra к Microsoft Sentinel
Встроенный соединитель Microsoft Sentinel можно использовать для сбора данных из идентификатора Microsoft Entra и потоковой передачи данных в Microsoft Sentinel. Соединитель позволяет выполнять потоковую передачу следующих типов журналов:
Журналы входа, содержащие сведения об интерактивных входах пользователей, при которых пользователь предоставляет фактор проверки подлинности.
Соединитель Microsoft Entra теперь включает следующие три дополнительные категории журналов входа, все в настоящее время в предварительной версии:
Журналы неинтерактивного входа пользователей, содержащие сведения о входах, выполняемых клиентом от имени пользователя без какого-либо взаимодействия или предоставления фактора проверки подлинности со стороны пользователя.
Журналы входа субъекта-службы, содержащие сведения о входе в приложения и субъекты-службы, которые не включают пользователя. При таких операциях входа приложение или служба предоставляют собственные учетные данные для проверки подлинности или доступа к ресурсам.
Журналы входа с управляемыми удостоверениями, которые содержат сведения об операциях входа ресурсов Azure, секретами которых управляет платформа Azure. См. сведения об управляемых удостоверениях для ресурсов Azure.
Журналы аудита, которые содержат информацию о системных операциях, связанных с управлением пользователями и группами, управляемыми приложениями и действиями каталогов.
Журналы подготовки (также в предварительной версии), содержащие сведения о системных действиях о пользователях, группах и ролях, подготовленных службой подготовки Microsoft Entra.
Журналы действий Microsoft Graph, содержащие сведения о HTTP-запросах, обращаюющихся к ресурсам клиента через API Microsoft Graph.
Внимание
Некоторые доступные типы журналов в настоящее время находятся в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure см. в других юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.
Необходимые компоненты
Для приема журналов входа в Microsoft Sentinel требуется лицензия Microsoft Entra ID P1 или P2. Для приема других типов журналов достаточно любой лицензии На идентификатор Microsoft Entra (бесплатная версия/O365/P1 или P2). Другие расходы за гигабайты могут применяться для Azure Monitor (Log Analytics) и Microsoft Sentinel.
Пользователю необходимо назначить роль участника Microsoft Sentinel в рабочей области.
У пользователя должна быть роль администратора безопасности в клиенте, из которого требуется потоковая передача журналов или эквивалентные разрешения.
Для просмотра состояния подключения пользователь должен иметь разрешения на чтение и запись в параметры диагностики Microsoft Entra.
Установите решение для идентификатора Microsoft Entra из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".
Подключение к идентификатору Microsoft Entra
В меню навигации Microsoft Sentinel выберите Соединители данных.
В коллекции соединителей данных выберите идентификатор Microsoft Entra и выберите страницу "Открыть соединитель".
Пометьте флажки рядом с типами журналов, которые вы хотите передавать в Microsoft Sentinel, и нажмите кнопку Connect.
Поиск данных
Когда подключение будет установлено, данные появятся в области Журналы в разделе Управление журналами в следующих таблицах:
SigninLogsAuditLogsAADNonInteractiveUserSignInLogsAADServicePrincipalSignInLogsAADManagedIdentitySignInLogsAADProvisioningLogsMSGraphActivityLogs
Чтобы запросить журналы Microsoft Entra, введите соответствующее имя таблицы в верхней части окна запроса.
Если ожидаемая таблица недоступна, убедитесь, что категории журналов выбраны для рабочей области Microsoft Sentinel в параметрах диагностики Entra. Дополнительные сведения см. в разделе "Настройка параметров диагностики Microsoft Entra" для журналов действий.
Следующие шаги
В этом документе вы узнали, как подключить идентификатор Microsoft Entra к Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
- Узнайте, как отслеживать свои данные и потенциальные угрозы.
- Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.