Connessione dati di Microsoft Entra a Microsoft Sentinel

  • Articolo

È possibile usare il connettore predefinito di Microsoft Sentinel per raccogliere dati dall'ID Microsoft Entra e trasmetterli in Microsoft Sentinel. Il connettore consente di trasmettere i tipi di log seguenti:

  • Log di accesso, che contengono informazioni sugli accessi utente interattivi in cui un utente fornisce un fattore di autenticazione.

    Il connettore Microsoft Entra include ora le tre categorie aggiuntive seguenti di log di accesso, tutte attualmente in anteprima:

    • Log di accesso utente non interattivi, che contengono informazioni sugli accessi eseguiti da un client per conto di un utente senza alcuna interazione o fattore di autenticazione da parte dell'utente.

    • Log di accesso dell'entità servizio, che contengono informazioni sugli accessi da parte di app e entità servizio che non coinvolgono alcun utente. In questi accessi, l'app o il servizio fornisce credenziali per proprio conto per autenticare o accedere alle risorse.

    • Log di accesso dell'identità gestita, che contengono informazioni sugli accessi da parte delle risorse di Azure che dispongono di segreti gestiti da Azure. Per altre informazioni, vedere Che cosa sono le identità gestite per le risorse di Azure?

  • Log di controllo, che contengono informazioni sulle attività di sistema relative alla gestione di utenti e gruppi, alle applicazioni gestite e alle attività della directory.

  • Log di provisioning (anche in ANTEPRIMA), che contengono informazioni sulle attività di sistema su utenti, gruppi e ruoli di cui è stato effettuato il provisioning dal servizio di provisioning Di Microsoft Entra.

Importante

Alcuni dei tipi di log disponibili sono attualmente disponibili in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud degli Stati Uniti per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.

Prerequisiti

  • Per inserire i log di accesso in Microsoft Sentinel, è necessaria una licenza Microsoft Entra ID P1 o P2. Qualsiasi licenza di Microsoft Entra ID (Free/O365/P1 o P2) è sufficiente per inserire gli altri tipi di log. Potrebbero essere applicati addebiti aggiuntivi per gigabyte per Monitoraggio di Azure (Log Analytics) e Microsoft Sentinel.

  • All'utente deve essere assegnato il ruolo Collaboratore Microsoft Sentinel nell'area di lavoro.

  • All'utente devono essere assegnati i ruoli del Amministrazione istrator globale o del Amministrazione istrator di sicurezza nel tenant da cui si vogliono trasmettere i log.

  • L'utente deve disporre delle autorizzazioni di lettura e scrittura per le impostazioni di diagnostica di Microsoft Entra per poter visualizzare lo stato della connessione.

  • Installare la soluzione per Microsoft Entra ID dall'hub del contenuto in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

Connessione a Microsoft Entra ID

  1. In Microsoft Sentinel selezionare Connettori dati dal menu di spostamento.

  2. Nella raccolta connettori dati selezionare Microsoft Entra ID e quindi selezionare Apri pagina connettore.

  3. Contrassegnare le caselle di controllo accanto ai tipi di log da trasmettere in Microsoft Sentinel (vedere sopra) e selezionare Connessione.

Trovare i dati

Dopo aver stabilito una connessione, i dati vengono visualizzati in Log, nella sezione LogManagement , nelle tabelle seguenti:

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs

Per eseguire una query sui log di Microsoft Entra, immettere il nome della tabella pertinente nella parte superiore della finestra di query.

Passaggi successivi

In questo documento si è appreso come connettere Microsoft Entra ID a Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: