将 Microsoft Entra 数据 连接到 Microsoft Sentinel

可使用 Microsoft Sentinel 的内置连接器从 Microsoft Entra ID 收集数据,并将数据流式传输到 Microsoft Sentinel。 通过使用连接器,可以流式传输以下日志类型:

  • 登录日志,包含用户提供身份验证因子的交互式用户登录信息。

    Microsoft Entra 连接器包含以下三个其他类别的登录日志,当前为预览版

  • 审核日志,包含了有关用户和组管理、托管应用程序和目录活动的系统活动信息。

重要

某些可用的日志类型目前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的其他法律条款,请参阅 Azure 预览版的补充使用条款

先决条件

  • 将登录日志引入 Microsoft Sentinel 需要 Microsoft Entra ID P1 或 P2 许可证。 任何 Microsoft Entra ID 许可证(免费/O365/P1 或 P2)均足以引入其他日志类型。 对于 Azure Monitor (Log Analytics) 和 Microsoft Sentinel,可能会按每 GB 收取其他费用。

  • 必须在工作区中为你的用户分配 Microsoft Sentinel 参与者角色。

  • 用户必须在你要从中流式传输日志的租户上拥有安全管理员角色,或拥有同等的权限。

  • 用户必须具有对 Microsoft Entra 诊断设置进行读取和写入的权限,才能查看连接状态。

  • 从 Microsoft Sentinel 中的内容中心安装 Microsoft Entra ID 的解决方案。 有关详细信息,请参阅发现和管理 Microsoft Sentinel 的现成内容

连接到 Microsoft Entra ID

  1. 在 Microsoft Sentinel 导航菜单中,选择“数据连接器”。

  2. 在数据连接器库中选择“Microsoft Entra ID”,然后选择“打开连接器”页。

  3. 勾选要流式传输到 Microsoft Sentinel 的日志类型旁的复选框,然后选择“连接”

查找数据

成功建立连接后,数据将显示在“日志管理”部分下的“日志”中,如下表:

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs

如要查询 Microsoft Entra 日志,请在“查询”窗口的顶部输入相关表名称。

后续步骤

本文档介绍了如何将 Microsoft Entra ID 连接到 Microsoft Sentinel。 若要详细了解 Microsoft Sentinel,请参阅以下文章: