連線 Microsoft Entra 資料至 Microsoft Sentinel
您可以使用 Microsoft Sentinel 的內建連接器,從 Microsoft Entra ID 收集資料,並將其串流至 Microsoft Sentinel。 連接器可讓您串流下列記錄類型:
登入記錄 ,其中包含使用者提供驗證要素之互動式使用者登入的相關資訊。
Microsoft Entra 連接器現在包含下列三個其他類別的登入記錄,全都處於預覽狀態 :
非互動式使用者登入記錄 ,其中包含代表使用者執行之用戶端登入的相關資訊,而不需要使用者進行任何互動或驗證要素。
服務主體登入記錄 ,其中包含不涉及任何使用者之應用程式和服務主體登入的相關資訊。 在這些登入中,應用程式或服務會代表自己提供認證來驗證或存取資源。
受控識別登入記錄 ,其中包含由 Azure 資源所管理秘密的登入相關資訊。 如需詳細資訊,請參閱 什麼是 Azure 資源的受控識別?
稽核記錄 ,其中包含與使用者和群組管理、受控應用程式和目錄活動相關的系統活動相關資訊。
布建記錄 (也在預覽 中 ),其中包含 Microsoft Entra 布建服務所布建之使用者、群組和角色的系統活動資訊。
重要
部分可用的記錄類型目前處於預覽狀態 。 如需適用于 Beta 版、預覽版或尚未發行至正式運作的 Azure 功能的其他法律條款,請參閱 Microsoft Azure 預覽 版補充使用條款。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的 雲端功能可用性中的 Microsoft Sentinel 資料表。
必要條件
需要 Microsoft Entra ID P1 或 P2 授權,才能將登入記錄內嵌至 Microsoft Sentinel。 任何 Microsoft Entra ID 授權 (Free/O365/P1 或 P2) 都足以內嵌其他記錄類型。 Azure 監視器 (Log Analytics) 和 Microsoft Sentinel 可能會收取額外費用,以 GB 為單位。
您的使用者必須獲 指派工作區上的 Microsoft Sentinel 參與者 角色。
您必須在您要串流記錄的租使用者上,將 全域管理員istrator 或 Security 管理員istrator 角色指派給使用者。
您的使用者必須具有 Microsoft Entra 診斷設定的讀取和寫入權限,才能查看線上狀態。
從 Microsoft Sentinel 中的內容中樞 安裝 Microsoft Entra 識別碼 的解決方案 。 如需詳細資訊,請參閱 探索及管理現用的 Microsoft Sentinel 內容 。
連線至 Microsoft Entra 識別碼
在 Microsoft Sentinel 中,從導覽功能表選取 [資料連接器]。
從資料連線器資源庫,選取 [Microsoft Entra ID ],然後選取 [ 開啟連接器] 頁面 。
標記您要串流至 Microsoft Sentinel 的記錄類型旁的核取方塊(請參閱上方),然後選取 [連線 ]。
尋找資料
建立成功連線之後,資料會出現在 LogManagement 區段的 Logs 中,下表中:
SigninLogs
AuditLogs
AADNonInteractiveUserSignInLogs
AADServicePrincipalSignInLogs
AADManagedIdentitySignInLogs
AADProvisioningLogs
若要查詢 Microsoft Entra 記錄,請在查詢視窗頂端輸入相關的資料表名稱。
下一步
在本檔中,您已瞭解如何將 Microsoft Entra ID 連線至 Microsoft Sentinel。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 瞭解如何 瞭解您的資料和潛在威脅 。
- 開始使用 Microsoft Sentinel 偵測威脅。