Поделиться через


Отправка данных в Microsoft Sentinel с использованием коннектора данных Microsoft Entra ID

Журналы Microsoft Entra ID предоставляют исчерпывающую информацию о пользователях, приложениях и сетях, имеющих доступ к вашему клиенту Entra. В этой статье описываются типы журналов, которые можно собирать с помощью соединителя данных идентификатора Microsoft Entra ID, как разрешить соединителю отправлять данные в Microsoft Sentinel и как найти данные в Microsoft Sentinel.

Типы данных соединителя данных Microsoft Entra ID

В этой таблице перечислены журналы, которые можно отправлять из идентификатора Microsoft Entra в Microsoft Sentinel с помощью соединителя данных идентификатора Microsoft Entra ID. Sentinel хранит эти журналы в рабочей области Log Analytics, связанной с рабочей областью Microsoft Sentinel.

Log type Описание Log schema
Журналы аудита Системное действие, связанное с управлением пользователями и группами, управляемыми приложениями и действиями каталогов. AuditLogs
Журналы входа Интерактивные входы пользователей, в которых пользователь предоставляет фактор проверки подлинности. SigninLogs
Неинтерактивные журналы входа пользователей (предварительная версия) Вход в систему, осуществляемый клиентом в интересах пользователя без какого-либо взаимодействия или фактора аутентификации от пользователя. AADNonInteractiveUserSignInLogs
Service principal sign-in logs (Preview) Sign-ins by apps and service principals that don't involve any user. При таких операциях входа приложение или служба предоставляют собственные учетные данные для проверки подлинности или доступа к ресурсам. AADServicePrincipalSignInLogs
Managed Identity sign-in logs (Preview) Sign-ins by Azure resources that have secrets managed by Azure. Для получения дополнительной информации см. Что такое управляемые удостоверения для ресурсов Azure?. AADManagedIdentitySignInLogs
AD FS sign-in logs Sign-ins performed through Active Directory Federation Services (AD FS). ADFSSignInLogs
Обогащенные журналы аудита Office 365 События безопасности, связанные с приложениями Microsoft 365. Обогащённые журналы аудита Office 365
Provisioning logs (Preview) Информация о системной активности, связанной с пользователями, группами и ролями, предоставленными службой предоставления Microsoft Entra. AADProvisioningLogs
Журналы действий Microsoft Graph HTTP-запросы, обращающиеся к ресурсам клиента через API Microsoft Graph. MicrosoftGraphActivityLogs
Журналы трафика сетевого доступа Network access traffic and activities. NetworkAccessTraffic
Журналы работоспособности удаленной сети Сведения о работоспособности удаленных сетей. RemoteNetworkHealthLogs
События риска пользователей User risk events generated by Microsoft Entra ID Protection. AADUserRiskEvents
Рискованные пользователи Рискованные пользователи, зафиксированные с помощью Microsoft Entra ID Protection. AADRiskyUsers
Risky service principals Сведения о сервисных принципалах, помеченных как рискованные сервисом защиты Microsoft Entra ID. AADRiskyServicePrincipals
Service principal risk events Risk detections associated with service principals logged by Microsoft Entra ID Protection. AADServicePrincipalRiskEvents

Внимание

Некоторые доступные типы журналов в настоящее время находятся в предварительной версии. See the Supplemental Terms of Use for Microsoft Azure Previews for other legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Предварительные условия

  • Для интеграции журналов входа в Microsoft Sentinel требуется лицензия Microsoft Entra ID P1 или P2. Any Microsoft Entra ID license (Free/O365/P1 or P2) is sufficient to ingest the other log types. Другие расходы за гигабайты могут применяться для Azure Monitor (Log Analytics) и Microsoft Sentinel.

  • Your user must be assigned the Microsoft Sentinel Contributor role on the workspace.

  • У вашего пользователя должна быть роль Security Administrator в клиенте, с которого вы хотите получать журналы, или эквивалентные разрешения.

  • Для просмотра состояния подключения пользователь должен иметь разрешения на чтение и запись в параметры диагностики Microsoft Entra.

Включить коннектор данных Microsoft Entra ID

Найдите и включите соединитель Microsoft Entra ID, как описано в разделе Включить соединитель данных.

Установка решения идентификатора Microsoft Entra (необязательно)

Установите решение для Microsoft Entra ID из Центра контента в Microsoft Sentinel, чтобы получить предустановленные рабочие книги, правила аналитики, плейбуки и многое другое. Дополнительные сведения см. в статье "Обнаружение и управление предустановленным содержимым Microsoft Sentinel".

Следующие шаги

В этом документе вы узнали, как подключить идентификатор Microsoft Entra к Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: