Microsoft Entra-adatok csatlakoztatása a Microsoft Sentinelhez
A Microsoft Sentinel beépített összekötőjével adatokat gyűjthet a Microsoft Entra ID-ból, és továbbíthatja őket a Microsoft Sentinelbe. Az összekötővel a következő naplótípusok streamelhetőek:
Bejelentkezési naplók, amelyek információkat tartalmaznak az interaktív felhasználói bejelentkezésekről, ahol a felhasználó hitelesítési tényezőt biztosít.
A Microsoft Entra-összekötő a bejelentkezési naplók következő három további kategóriáját tartalmazza, mind jelenleg előzetes verzióban:
Nem interaktív felhasználói bejelentkezési naplók, amelyek információkat tartalmaznak az ügyfél által a felhasználó nevében végrehajtott bejelentkezésekről anélkül, hogy a felhasználótól bármilyen interakciót vagy hitelesítési tényezőt használnak.
Szolgáltatásnév bejelentkezési naplói, amelyek olyan alkalmazások és szolgáltatásnevek által végzett bejelentkezésekkel kapcsolatos információkat tartalmaznak, amelyek nem vonnak magukban semmilyen felhasználót. Ezekben a bejelentkezésekben az alkalmazás vagy szolgáltatás saját nevében biztosít hitelesítő adatokat az erőforrások hitelesítéséhez vagy eléréséhez.
Felügyelt identitás bejelentkezési naplói, amelyek az Azure-erőforrások által felügyelt titkos kódokkal rendelkező Azure-erőforrások bejelentkezéseiről tartalmaznak információkat. További információ: Mik az Azure-erőforrások felügyelt identitásai?
Naplózási naplók, amelyek a felhasználó- és csoportfelügyelettel, a felügyelt alkalmazásokkal és a címtártevékenységekkel kapcsolatos rendszertevékenységekkel kapcsolatos információkat tartalmaznak.
Kiépítési naplók (szintén előzetes verzióban), amelyek a Microsoft Entra kiépítési szolgáltatás által kiépített felhasználókra, csoportokra és szerepkörökre vonatkozó rendszertevékenység-információkat tartalmaznak.
Microsoft Graph-tevékenységnaplók, amelyek információkat tartalmaznak a bérlő erőforrásaihoz a Microsoft Graph API-n keresztül elért HTTP-kérelmekről.
Fontos
Az elérhető naplótípusok némelyike jelenleg előzetes verzióban érhető el. A Microsoft Azure Previews kiegészítő használati feltételeiben talál további jogi feltételeket, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Feljegyzés
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.
Előfeltételek
A bejelentkezési naplók Microsoft Sentinelbe való betöltéséhez P1 vagy P2 Azonosítójú Microsoft Entra-licenc szükséges. Bármely Microsoft Entra ID-licenc (ingyenes/O365/P1 vagy P2) elegendő a többi naplótípus betöltéséhez. Az Azure Monitor (Log Analytics) és a Microsoft Sentinel esetében más gigabájtonkénti díjak is vonatkozhatnak.
A felhasználóhoz hozzá kell rendelni a Microsoft Sentinel közreműködői szerepkört a munkaterületen.
A felhasználónak rendelkeznie kell a biztonsági rendszergazda szerepkörével azon a bérlőn, amelyről a naplókat streamelni szeretné, vagy ezzel egyenértékű engedélyekkel kell rendelkeznie.
A felhasználónak olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Entra diagnosztikai beállításaihoz a kapcsolat állapotának megtekintéséhez.
Telepítse a Microsoft Entra ID megoldását a Microsoft Sentinel content hubjáról. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.
Csatlakozás a Microsoft Entra-azonosítóhoz
A Microsoft Sentinelben válassza az Adatösszekötők lehetőséget a navigációs menüből.
Az adatösszekötők gyűjteményében válassza a Microsoft Entra-azonosítót , majd az Összekötő megnyitása lapot.
Jelölje be a Microsoft Sentinelbe streamelni kívánt naplótípusok melletti jelölőnégyzeteket, és válassza a Csatlakozás lehetőséget.
Az adatok megkeresése
A sikeres kapcsolat létrejötte után az adatok a LogManagement szakaszban, a LogManagement szakaszban jelennek meg a következő táblákban:
SigninLogsAuditLogsAADNonInteractiveUserSignInLogsAADServicePrincipalSignInLogsAADManagedIdentitySignInLogsAADProvisioningLogsMSGraphActivityLogs
A Microsoft Entra-naplók lekérdezéséhez adja meg a megfelelő táblanevet a lekérdezési ablak tetején.
Ha egy várt tábla nem érhető el, ellenőrizze, hogy a naplókategóriák ki vannak-e választva a Microsoft Sentinel-munkaterülethez az Entra diagnosztikai beállításai között. További információ: A Microsoft Entra diagnosztikai beállításainak konfigurálása tevékenységnaplókhoz.
Következő lépések
Ebben a dokumentumban megtanulta, hogyan csatlakoztathatja a Microsoft Entra ID-t a Microsoft Sentinelhez. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:
- Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
- Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.