توصيل بيانات Microsoft Entra ب Microsoft Sentinel
يمكنك استخدام موصل Microsoft Sentinel المضمن لجمع البيانات من معرف Microsoft Entra وبثها إلى Microsoft Sentinel. يسمح لك الموصل بدفق بيانات أنواع السجلات التالية:
سجلات تسجيل الدخول، التي تحتوي على معلومات حول عمليات تسجيل دخول المستخدم التفاعلية حيث يوفر المستخدم عامل مصادقة.
يتضمن موصل Microsoft Entra الآن الفئات الإضافية الثلاث التالية من سجلات تسجيل الدخول، وكلها حاليا في PREVIEW:
سجلات تسجيل دخول المستخدم غير التفاعلية، التي تحتوي على معلومات حول عمليات تسجيل الدخول التي يقوم بها العميل نيابة عن مستخدم دون أي تفاعل أو عامل مصادقة من المستخدم.
سجلات تسجيل الدخول الأساسية للخدمة، والتي تحتوي على معلومات حول عمليات تسجيل الدخول بواسطة التطبيقات وكيانات الخدمة التي لا تتضمن أي مستخدم. في تسجيل الدخول هذا، يقدم التطبيق أو الخدمة بيانات اعتماد نيابة عن نفسه لمصادقة أو الوصول إلى الموارد.
سجلات تسجيل الدخول إلى الهوية المدارة، التي تحتوي على معلومات حول عمليات تسجيل الدخول بواسطة موارد Azure التي تحتوي على أسرار يديرها Azure. للمزيد من المعلومات، راجعما المقصود بالهويات المُدارة لموارد Microsoft Azure؟
سجلات التدقيق، التي تحتوي على معلومات حول نشاط النظام المتعلق بإدارة المستخدم والمجموعة والتطبيقات المدارة وأنشطة الدليل.
سجلات التوفير (أيضا في PREVIEW)، والتي تحتوي على معلومات نشاط النظام حول المستخدمين والمجموعات والأدوار التي توفرها خدمة توفير Microsoft Entra.
سجلات نشاط Microsoft Graph، والتي تحتوي على معلومات حول طلبات HTTP التي تصل إلى موارد المستأجر الخاص بك من خلال واجهة برمجة تطبيقات Microsoft Graph.
هام
بعض أنواع السجلات المتوفرة موجودة حاليا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية أخرى تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك التي لم يتم إصدارها بعد في التوفر العام.
إشعار
للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .
المتطلبات الأساسية
مطلوب ترخيص Microsoft Entra ID P1 أو P2 لاستيعاب سجلات تسجيل الدخول إلى Microsoft Sentinel. أي ترخيص معرف Microsoft Entra (مجاني/O365/P1 أو P2) كاف لاستيعاب أنواع السجلات الأخرى. قد يتم تطبيق رسوم أخرى لكل غيغابايت على Azure Monitor (Log Analytics) وMicrosoft Sentinel.
يجب تعيين دور Microsoft Azure Sentinel Contributor في مساحة العمل للمستخدم.
يجب أن يكون لدى المستخدم دور مسؤول الأمان على المستأجر الذي تريد دفق السجلات منه، أو الأذونات المكافئة.
يجب أن يكون لدى المستخدم أذونات القراءة والكتابة لإعدادات تشخيص Microsoft Entra لكي يتمكن من رؤية حالة الاتصال.
قم بتثبيت الحل لمعرف Microsoft Entra من مركز المحتوى في Microsoft Sentinel. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.
الاتصال بمعرف Microsoft Entra
في Microsoft Sentinel، حدد Data connectors من قائمة التنقل.
من معرض موصلات البيانات، حدد معرف Microsoft Entra ثم حدد فتح صفحة الموصل.
ضع علامة على خانات الاختيار إلى جانب أنواع السجلات التي تريد دفقها إلى Microsoft Sentinel، وحدد اتصال.
العثور على بياناتك
بعد تأسيس اتصال ناجح، تظهر البيانات في السجلات، ضمن قسم LogManagement، في الجداول التالية:
SigninLogsAuditLogsAADNonInteractiveUserSignInLogsAADServicePrincipalSignInLogsAADManagedIdentitySignInLogsAADProvisioningLogsMSGraphActivityLogs
للاستعلام عن سجلات Microsoft Entra، أدخل اسم الجدول ذي الصلة في أعلى نافذة الاستعلام.
إذا لم يكن الجدول المتوقع متوفرا، فتحقق من تحديد فئات السجل لمساحة عمل Microsoft Sentinel في إعدادات تشخيص Entra. لمزيد من المعلومات، راجع تكوين إعدادات تشخيص Microsoft Entra لسجلات النشاط.
الخطوات التالية
في هذا المستند، تعلمت كيفية توصيل معرف Microsoft Entra ب Microsoft Sentinel. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:
- تعرّف على كيفية الحصول على رؤية لبياناتك والتهديدات المحتملة.
- ابدأ في اكتشاف التهديدات باستخدام Microsoft Azure Sentinel.