Koneksi data Microsoft Entra ke Microsoft Azure Sentinel
Anda dapat menggunakan konektor bawaan Microsoft Sentinel untuk mengumpulkan data dari ID Microsoft Entra dan mengalirkannya ke Microsoft Sentinel. Konektor memungkinkan Anda melakukan streaming jenis log berikut:
Log masuk, yang berisi informasi tentang proses masuk pengguna interaktif tempat pengguna memberikan faktor autentikasi.
Konektor Microsoft Entra sekarang menyertakan tiga kategori log masuk tambahan berikut, semuanya saat ini dalam PRATINJAU:
Log masuk pengguna non-interaktif, yang berisi informasi tentang proses masuk yang dilakukan oleh klien atas nama pengguna tanpa interaksi atau faktor autentikasi apa pun dari pengguna.
Log masuk perwakilan layanan, yang berisi informasi tentang rincian masuk oleh aplikasi dan perwakilan layanan yang tidak melibatkan pengguna apa pun. Dalam rincian masuk ini, aplikasi atau layanan menyediakan informasi masuk atas namanya sendiri untuk mengautentikasi atau mengakses sumber daya.
Log masuk Identitas Terkelola, yang berisi informasi tentang proses masuk oleh sumber daya Azure yang memiliki rahasia yang dikelola oleh Azure. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan identitas terkelola untuk sumber daya Azure?
Log audit, yang berisi informasi tentang aktivitas sistem yang berkaitan dengan manajemen pengguna dan grup, aplikasi terkelola, dan aktivitas direktori.
Log provisi (juga dalam PRATINJAU), yang berisi informasi aktivitas sistem tentang pengguna, grup, dan peran yang disediakan oleh layanan provisi Microsoft Entra.
Log aktivitas Microsoft Graph, yang berisi informasi tentang permintaan HTTP yang mengakses sumber daya penyewa Anda melalui Microsoft Graph API.
Penting
Beberapa jenis log yang tersedia saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum lain yang berlaku untuk fitur Azure yang dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Catatan
Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.
Prasyarat
Lisensi Microsoft Entra ID P1 atau P2 diperlukan untuk menyerap log masuk ke Microsoft Sentinel. Lisensi ID Microsoft Entra apa pun (Gratis/O365/P1 atau P2) cukup untuk menyerap jenis log lainnya. Biaya per gigabyte lainnya dapat berlaku untuk Azure Monitor (Analitik Log) dan Microsoft Sentinel.
Pengguna Anda harus diberi peran Kontributor Microsoft Sentinel di ruang kerja.
Pengguna Anda harus diberi peran Administrator Global atau Administrator Keamanan pada penyewa yang dari penyewa tersebut Anda ingin melakukan streaming log.
Pengguna Anda harus memiliki izin baca dan tulis ke pengaturan diagnostik Microsoft Entra agar dapat melihat status koneksi.
Instal solusi untuk ID Microsoft Entra dari Hub Konten di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.
Koneksi ke ID Microsoft Entra
Di Microsoft Azure Sentinel, pilih Konektor data dari menu navigasi.
Dari galeri konektor data, pilih ID Microsoft Entra lalu pilih Buka halaman konektor.
Tandai kotak centang di samping jenis log yang ingin Anda streaming ke Microsoft Azure Sentinel, dan pilih Koneksi.
Menemukan data Anda
Setelah koneksi berhasil dibuat, data akan muncul di Log, di bagian LogManagement, dalam tabel berikut:
SigninLogsAuditLogsAADNonInteractiveUserSignInLogsAADServicePrincipalSignInLogsAADManagedIdentitySignInLogsAADProvisioningLogsMSGraphActivityLogs
Untuk mengkueri log Microsoft Entra, masukkan nama tabel yang relevan di bagian atas jendela kueri.
Langkah berikutnya
Dalam dokumen ini, Anda mempelajari cara menyambungkan ID Microsoft Entra ke Microsoft Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut: