Menyambungkan data Microsoft Entra ke Microsoft Azure Sentinel

Anda dapat menggunakan konektor bawaan Microsoft Sentinel untuk mengumpulkan data dari ID Microsoft Entra dan mengalirkannya ke Microsoft Sentinel. Konektor memungkinkan Anda melakukan streaming jenis log berikut:

• Log masuk, yang berisi informasi tentang proses masuk pengguna interaktif tempat pengguna memberikan faktor autentikasi.

  Konektor Microsoft Entra sekarang menyertakan tiga kategori log masuk tambahan berikut, semuanya saat ini dalam PRATINJAU:

  • Log masuk pengguna non-interaktif, yang berisi informasi tentang proses masuk yang dilakukan oleh klien atas nama pengguna tanpa interaksi atau faktor autentikasi apa pun dari pengguna.

  • Log masuk perwakilan layanan, yang berisi informasi tentang rincian masuk oleh aplikasi dan perwakilan layanan yang tidak melibatkan pengguna apa pun. Dalam rincian masuk ini, aplikasi atau layanan menyediakan informasi masuk atas namanya sendiri untuk mengautentikasi atau mengakses sumber daya.

  • Log masuk Identitas Terkelola, yang berisi informasi tentang proses masuk oleh sumber daya Azure yang memiliki rahasia yang dikelola oleh Azure. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan identitas terkelola untuk sumber daya Azure?

• Log audit, yang berisi informasi tentang aktivitas sistem yang berkaitan dengan manajemen pengguna dan grup, aplikasi terkelola, dan aktivitas direktori.

• Log provisi (juga dalam PRATINJAU), yang berisi informasi aktivitas sistem tentang pengguna, grup, dan peran yang disediakan oleh layanan provisi Microsoft Entra.

• Log aktivitas Microsoft Graph, yang berisi informasi tentang permintaan HTTP yang mengakses sumber daya penyewa Anda melalui Microsoft Graph API.

Prasyarat

• Lisensi Microsoft Entra ID P1 atau P2 diperlukan untuk menyerap log masuk ke Microsoft Sentinel. Lisensi ID Microsoft Entra apa pun (Gratis/O365/P1 atau P2) cukup untuk menyerap jenis log lainnya. Biaya per gigabyte lainnya dapat berlaku untuk Azure Monitor (Analitik Log) dan Microsoft Sentinel.

• Pengguna Anda harus diberi peran Kontributor Microsoft Sentinel di ruang kerja.

• Pengguna Anda harus memiliki peran Administrator Keamanan pada penyewa tempat Anda ingin mengalirkan log, atau izin yang setara.

• Pengguna Anda harus memiliki izin baca dan tulis ke pengaturan diagnostik Microsoft Entra agar dapat melihat status koneksi.

• Instal solusi untuk ID Microsoft Entra dari Hub Konten di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.

Menyambungkan ke ID Microsoft Entra

1. Di Microsoft Azure Sentinel, pilih Konektor data dari menu navigasi.

2. Dari galeri konektor data, pilih ID Microsoft Entra lalu pilih Buka halaman konektor.

3. Tandai kotak centang di samping jenis log yang ingin Anda streaming ke Microsoft Sentinel, dan pilih Sambungkan.

Menemukan data Anda

Setelah koneksi berhasil dibuat, data akan muncul di Log, di bagian LogManagement, dalam tabel berikut:

• SigninLogs
• AuditLogs
• AADNonInteractiveUserSignInLogs
• AADServicePrincipalSignInLogs
• AADManagedIdentitySignInLogs
• AADProvisioningLogs
• MSGraphActivityLogs

Untuk mengkueri log Microsoft Entra, masukkan nama tabel yang relevan di bagian atas jendela kueri.

Jika tabel yang diharapkan tidak tersedia, verifikasi kategori log dipilih untuk ruang kerja Microsoft Azure Sentinel Anda di pengaturan diagnostik Entra. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan diagnostik Microsoft Entra untuk log aktivitas.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara menyambungkan ID Microsoft Entra ke Microsoft Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Pelajari cara mendapatkan visibilitas ke data Anda dan potensi ancaman.
• Mulai mendeteksi ancaman dengan Microsoft Azure Sentinel.