您可以使用 Microsoft Sentinel 的内置连接器从 Microsoft Entra ID 收集数据,并将其流式传输到 Microsoft Sentinel。 通过使用连接器,可以流式传输以下日志类型:
登录日志,包含用户提供身份验证因子的交互式用户登录信息。
Microsoft Entra 连接器包含以下三个其他类别的登录日志,当前为预览版:
非交互式用户登录日志,包含了客户端代表用户进行登录的信息,没有来自用户的任何交互或身份验证因素。
服务主体登录日志,包含了应用程序和服务主体登录信息,不涉及任何用户。 在此类登录中,应用或服务代表自己提供对资源进行身份验证或访问所需的凭据。
托管标识登录日志,其中包含 Azure 资源的登录信息,这些资源包含由 Azure 管理的机密信息。 有关详细信息,请参阅什么是 Azure 资源的托管标识?
审核日志,包含了有关用户和组管理、托管应用程序和目录活动的系统活动信息。
重要
某些可用的日志类型目前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的其他法律条款,请参阅 Azure 预览版的补充使用条款。
先决条件
将登录日志引入 Microsoft Sentinel 需要 Microsoft Entra ID P1 或 P2 许可证。 任何 Microsoft Entra ID 许可证(免费/O365/P1 或 P2)均足以引入其他日志类型。 对于 Azure Monitor (Log Analytics) 和 Microsoft Sentinel,可能会按每 GB 收取其他费用。
必须为你的用户分配工作区的 Microsoft Sentinel 参与者角色。
用户必须在你要从中流式传输日志的租户上拥有安全管理员角色,或拥有同等的权限。
用户必须具有对 Microsoft Entra 诊断设置进行读取和写入的权限,才能查看连接状态。
从 Microsoft Sentinel 中的内容中心安装 Microsoft Entra ID 的解决方案。 有关详细信息,请参阅发现和管理 Microsoft Sentinel 现成内容。
连接到 Microsoft Entra ID
在 Microsoft Sentinel 导航菜单中,选择“数据连接器”。
在数据连接器库中选择“Microsoft Entra ID”,然后选择“打开连接器页面”。
勾选要传送到 Microsoft Sentinel 的日志类型旁的复选框,然后选择“连接”。
查找您的数据
成功建立连接后,数据将显示在“日志管理”部分下的“日志”中,如下表:
SigninLogs
AuditLogs
AADNonInteractiveUserSignInLogs
AADServicePrincipalSignInLogs
AADManagedIdentitySignInLogs
AADProvisioningLogs
如要查询 Microsoft Entra 日志,请在“查询”窗口的顶部输入相关表名称。
如果所需的表不可用,请验证是否在 Microsoft Entra 诊断设置中为 Microsoft Sentinel 工作区选择了日志类别。 如需更多信息,请参阅为活动日志配置 Microsoft Entra 诊断设置。
后续步骤
本文档介绍了如何将 Microsoft Entra ID 连接到 Microsoft Sentinel。 若要详细了解 Microsoft Sentinel,请参阅以下文章: