Compartilhar via

使用 Microsoft Entra ID 数据连接器将数据发送到Microsoft Sentinel

重要

注意:根据世纪互联发布的公告,所有 Microsoft Sentinel 功能将于 2026 年 8 月 18 日在中国地区的 Azure 中正式停用。

Microsoft Entra ID日志提供有关访问Microsoft Entra租户的用户、应用程序和网络的综合信息。 本文介绍可以使用Microsoft Entra ID数据连接器收集的日志类型、如何使连接器能够将数据发送到Microsoft Sentinel,以及如何在Microsoft Sentinel中查找数据。

先决条件

  • 需要Microsoft Entra Workload ID Premium 许可证才能将 AADRiskyServicePrincipalsAADServicePrincipalRiskEvents 日志流式传输到Microsoft Sentinel。

  • 需要Microsoft Entra ID P1 或 P2 许可证才能将登录日志引入Microsoft Sentinel。 任何Microsoft Entra ID许可证(免费/O365/P1 或 P2)都足以引入其他日志类型。 其他每千兆字节的费用可能适用于Azure Monitor(Log Analytics)和Microsoft Sentinel。

  • 必须在工作区中为用户分配Microsoft Sentinel 参与者角色。

  • 用户必须在你要从中流式传输日志的租户上拥有安全管理员角色,或拥有同等的权限。

  • 用户必须具有对Microsoft Entra诊断设置的读取和写入权限才能查看连接状态。

Microsoft Entra ID数据连接器数据类型

下表列出了可以使用Microsoft Entra ID数据连接器从Microsoft Entra ID发送到Microsoft Sentinel的日志。 Microsoft Sentinel将这些日志存储在链接到Microsoft Sentinel工作区的Log Analytics工作区中。

日志类型 说明 日志架构
审核日志 与用户和组管理、托管应用程序和目录活动相关的系统活动。 AuditLogs
登录日志 用户提供身份验证因素的交互式用户登录。 SigninLogs
非交互式用户登录日志 在没有用户交互或身份验证因素的情况下,由客户端代表用户执行的登录。 AADNonInteractiveUserSignInLogs
服务主体登录日志 不涉及任何用户的应用和服务主体的登录。 在此类登录中,应用或服务代表自己提供对资源进行身份验证或访问所需的凭据。 AADServicePrincipalSignInLogs
托管身份登录日志 由Azure管理机密的资源进行的登录。 有关详细信息,请参阅 Azure 资源的托管标识是什么? AADManagedIdentitySignInLogs
用户风险事件 由Microsoft Entra ID Protection生成的用户风险事件。 AAD 用户风险事件
有风险的用户 由“Microsoft Entra ID Protection”记录的风险用户。 AADRiskyUsers
有风险的服务主体 有关Microsoft Entra ID Protection标记为有风险的服务主体的信息。 AADRiskyServicePrincipals
服务主体风险事件 与Microsoft Entra ID Protection记录的服务主体关联的风险检测。 AADServicePrincipalRiskEvents

重要

某些可用的日志类型目前为预览版。 有关适用于 Azure 功能(包括 beta 版、预览版或尚未正式发布版本)的其他法律条款,请参阅 Azure 预览版的补充使用条款

启用Microsoft Entra ID数据连接器

搜索并启用 Microsoft Entra ID 连接器,如 启用数据连接器中所述。

安装Microsoft Entra ID解决方案(可选)

在 Microsoft Sentinel 中从 Content Hub 安装 Microsoft Entra ID 解决方案,以获取预生成的工作簿、分析规则、自动化步骤等。 有关详细信息,请参阅 发现和管理 Microsoft Sentinel 的开箱即用内容

后续步骤

本文档介绍了如何将Microsoft Entra ID连接到Microsoft Sentinel。 若要详细了解Microsoft Sentinel,请参阅以下文章:

  • Last updated on