您可以使用 Microsoft Sentinel 的内置连接器从 Microsoft Entra ID 收集数据,并将其流式传输到 Microsoft Sentinel。 通过使用连接器,可以流式传输以下日志类型:
登录日志,包含用户提供身份验证因子的交互式用户登录信息。
Microsoft Entra 连接器包含以下三个其他类别的登录日志,当前为预览版:
非交互式用户登录日志,包含了客户端代表用户进行登录的信息,没有来自用户的任何交互或身份验证因素。
服务主体登录日志,包含了应用程序和服务主体登录信息,不涉及任何用户。 在此类登录中,应用或服务代表自己提供对资源进行身份验证或访问所需的凭据。
托管标识登录日志,其中包含 Azure 资源的登录信息,这些资源包含由 Azure 管理的机密信息。 有关详细信息,请参阅什么是 Azure 资源的托管标识?
审核日志,包含了有关用户和组管理、托管应用程序和目录活动的系统活动信息。
重要
某些可用的日志类型目前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的其他法律条款,请参阅 Azure 预览版的补充使用条款。
先决条件
将登录日志引入 Microsoft Sentinel 需要 Microsoft Entra ID P1 或 P2 许可证。 任何 Microsoft Entra ID 许可证(免费/O365/P1 或 P2)均足以引入其他日志类型。 对于 Azure Monitor (Log Analytics) 和 Microsoft Sentinel,可能会按每 GB 收取其他费用。
必须为你的用户分配工作区的 Microsoft Sentinel 参与者角色。
用户必须在你要从中流式传输日志的租户上拥有安全管理员角色,或拥有同等的权限。
用户必须具有对 Microsoft Entra 诊断设置进行读取和写入的权限,才能查看连接状态。
从 Microsoft Sentinel 中的内容中心安装 Microsoft Entra ID 的解决方案。 有关详细信息,请参阅发现和管理 Microsoft Sentinel 现成内容。
连接到 Microsoft Entra ID
在 Microsoft Sentinel 导航菜单中,选择“数据连接器”。
在数据连接器库中选择“Microsoft Entra ID”,然后选择“打开连接器页面”。
勾选要传送到 Microsoft Sentinel 的日志类型旁的复选框,然后选择“连接”。
查找您的数据
成功建立连接后,数据将显示在“日志管理”部分下的“日志”中,如下表:
SigninLogsAuditLogsAADNonInteractiveUserSignInLogsAADServicePrincipalSignInLogsAADManagedIdentitySignInLogsAADProvisioningLogs
如要查询 Microsoft Entra 日志,请在“查询”窗口的顶部输入相关表名称。
如果所需的表不可用,请验证是否在 Microsoft Entra 诊断设置中为 Microsoft Sentinel 工作区选择了日志类别。 如需更多信息,请参阅为活动日志配置 Microsoft Entra 诊断设置。
后续步骤
本文档介绍了如何将 Microsoft Entra ID 连接到 Microsoft Sentinel。 若要详细了解 Microsoft Sentinel,请参阅以下文章: