Подключение Azure Active Directory (Azure AD) данные в Microsoft Sentinel

Примечание

Azure Sentinel теперь называется Microsoft Sentinel, и мы будем обновлять эти страницы в ближайшие недели. Узнайте подробнее о последних усовершенствованиях в системе безопасности Майкрософт.

Важно!

Как указано ниже, некоторые типы журналов сейчас находятся на этапе предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Примечание

Сведения о доступности функций в облаке правительства США см. в таблицах Microsoft Sentinel в разделе доступность функций облака для клиентов правительства США.

встроенный соединитель microsoft Sentinel можно использовать для получения данных из Azure Active Directory и их потоковой передачи в Microsoft Sentinel. Соединитель позволяет выполнять потоковую передачу следующих типов журналов:

  • Журналы входа, содержащие сведения об интерактивных входах пользователей, при которых пользователь предоставляет фактор проверки подлинности.

    Соединитель Azure AD теперь включает в себя следующие три дополнительные категории журналов входа, которые сейчас находятся на этапе предварительной версии:

  • Журналы аудита, которые содержат информацию о системных операциях, связанных с управлением пользователями и группами, управляемыми приложениями и действиями каталогов.

  • Журналы подготовки (также на этапе предварительной версии), содержащие сведения о системных операциях, связанных с пользователями, группами и ролями, которые подготавливает служба подготовки Azure AD.

Предварительные требования

  • для приема журналов входа в Microsoft Sentinel требуется лицензия Azure Active Directory P1 или P2. Для приема других типов журналов достаточно любой лицензии Azure AD (бесплатной, O365, P1 или P2). За Azure Monitor (Log Analytics) и Microsoft Sentinel может взиматься дополнительная плата за гигабайт.

  • Пользователю должна быть назначена роль " Microsoft Sentinel участник " в рабочей области.

  • Пользователю должны быть назначены роли глобального администратора или администратора безопасности на клиенте, с которого нужно выполнять потоковую передачу журналов.

  • Для просмотра состояния подключения пользователь должен иметь разрешения на чтение и запись параметров диагностики Azure AD.

Подключение к Azure Active Directory

  1. В меню навигации Microsoft Sentinel выберите пункт соединители данных .

  2. В коллекции соединителей данных выберите Azure Active Directory, а затем щелкните Open connector page (Открыть страницу соединителя).

  3. установите флажки рядом с типами журналов, которые требуется передать в Microsoft Sentinel (см. выше), и выберите Подключение.

Поиск данных

Когда подключение будет установлено, данные появятся в области Журналы в разделе Управление журналами в следующих таблицах:

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs

Чтобы запросить журналы Azure AD, введите соответствующее имя таблицы в верхней части окна запроса.

Дальнейшие действия

в этом документе вы узнали, как подключить Azure Active Directory к Microsoft Sentinel. Дополнительные сведения о Microsoft Sentinel см. в следующих статьях: