Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Журналы Microsoft Entra ID предоставляют исчерпывающую информацию о пользователях, приложениях и сетях, имеющих доступ к вашему клиенту Entra. В этой статье описываются типы журналов, которые можно собирать с помощью соединителя данных идентификатора Microsoft Entra ID, как разрешить соединителю отправлять данные в Microsoft Sentinel и как найти данные в Microsoft Sentinel.
Типы данных соединителя данных Microsoft Entra ID
В этой таблице перечислены журналы, которые можно отправлять из идентификатора Microsoft Entra в Microsoft Sentinel с помощью соединителя данных идентификатора Microsoft Entra ID. Sentinel хранит эти журналы в рабочей области Log Analytics, связанной с рабочей областью Microsoft Sentinel.
| Log type | Описание | Log schema |
|---|---|---|
| Журналы аудита | Системное действие, связанное с управлением пользователями и группами, управляемыми приложениями и действиями каталогов. | AuditLogs |
| Журналы входа | Интерактивные входы пользователей, в которых пользователь предоставляет фактор проверки подлинности. | SigninLogs |
| Неинтерактивные журналы входа пользователей (предварительная версия) | Вход в систему, осуществляемый клиентом в интересах пользователя без какого-либо взаимодействия или фактора аутентификации от пользователя. | AADNonInteractiveUserSignInLogs |
| Service principal sign-in logs (Preview) | Sign-ins by apps and service principals that don't involve any user. При таких операциях входа приложение или служба предоставляют собственные учетные данные для проверки подлинности или доступа к ресурсам. | AADServicePrincipalSignInLogs |
| Managed Identity sign-in logs (Preview) | Sign-ins by Azure resources that have secrets managed by Azure. Для получения дополнительной информации см. Что такое управляемые удостоверения для ресурсов Azure?. | AADManagedIdentitySignInLogs |
| AD FS sign-in logs | Sign-ins performed through Active Directory Federation Services (AD FS). | ADFSSignInLogs |
| Обогащенные журналы аудита Office 365 | События безопасности, связанные с приложениями Microsoft 365. | Обогащённые журналы аудита Office 365 |
| Provisioning logs (Preview) | Информация о системной активности, связанной с пользователями, группами и ролями, предоставленными службой предоставления Microsoft Entra. | AADProvisioningLogs |
| Журналы действий Microsoft Graph | HTTP-запросы, обращающиеся к ресурсам клиента через API Microsoft Graph. | MicrosoftGraphActivityLogs |
| Журналы трафика сетевого доступа | Network access traffic and activities. | NetworkAccessTraffic |
| Журналы работоспособности удаленной сети | Сведения о работоспособности удаленных сетей. | RemoteNetworkHealthLogs |
| События риска пользователей | User risk events generated by Microsoft Entra ID Protection. | AADUserRiskEvents |
| Рискованные пользователи | Рискованные пользователи, зафиксированные с помощью Microsoft Entra ID Protection. | AADRiskyUsers |
| Risky service principals | Сведения о сервисных принципалах, помеченных как рискованные сервисом защиты Microsoft Entra ID. | AADRiskyServicePrincipals |
| Service principal risk events | Risk detections associated with service principals logged by Microsoft Entra ID Protection. | AADServicePrincipalRiskEvents |
Внимание
Некоторые доступные типы журналов в настоящее время находятся в предварительной версии. See the Supplemental Terms of Use for Microsoft Azure Previews for other legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.
Предварительные условия
Для интеграции журналов входа в Microsoft Sentinel требуется лицензия Microsoft Entra ID P1 или P2. Any Microsoft Entra ID license (Free/O365/P1 or P2) is sufficient to ingest the other log types. Другие расходы за гигабайты могут применяться для Azure Monitor (Log Analytics) и Microsoft Sentinel.
Your user must be assigned the Microsoft Sentinel Contributor role on the workspace.
У вашего пользователя должна быть роль Security Administrator в клиенте, с которого вы хотите получать журналы, или эквивалентные разрешения.
Для просмотра состояния подключения пользователь должен иметь разрешения на чтение и запись в параметры диагностики Microsoft Entra.
Включить коннектор данных Microsoft Entra ID
Найдите и включите соединитель Microsoft Entra ID, как описано в разделе Включить соединитель данных.
Установка решения идентификатора Microsoft Entra (необязательно)
Установите решение для Microsoft Entra ID из Центра контента в Microsoft Sentinel, чтобы получить предустановленные рабочие книги, правила аналитики, плейбуки и многое другое. Дополнительные сведения см. в статье "Обнаружение и управление предустановленным содержимым Microsoft Sentinel".
Следующие шаги
В этом документе вы узнали, как подключить идентификатор Microsoft Entra к Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
- Узнайте, как отслеживать свои данные и потенциальные угрозы.
- Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.