你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Entra ID 日志提供有关访问 Microsoft Entra 租户的用户、应用程序和网络的综合信息。 本文介绍可以使用 Microsoft Entra ID 数据连接器收集的日志类型、如何使连接器能够将数据发送到 Microsoft Sentinel,以及如何在 Microsoft Sentinel 中查找数据。
Prerequisites
需要Microsoft Entra Workload ID Premium 许可证才能将 AADRiskyServicePrincipals 和 AADServicePrincipalRiskEvents 日志流式传输到 Microsoft Sentinel。
将登录日志引入 Microsoft Sentinel 需要 Microsoft Entra ID P1 或 P2 许可证。 任何 Microsoft Entra ID 许可证(免费/O365/P1 或 P2)均足以引入其他日志类型。 其他按千兆字节计费的费用可能适用于 Azure Monitor(Log Analytics)和 Microsoft Sentinel。
必须为你的用户分配工作区的 Microsoft Sentinel 参与者角色。
用户必须在你要从中流式传输日志的租户上拥有安全管理员角色,或拥有同等的权限。
用户必须具有对 Microsoft Entra 诊断设置进行读取和写入的权限,才能查看连接状态。
Microsoft Entra ID 数据连接器数据类型
下表列出了可以使用 Microsoft Entra ID 数据连接器从 Microsoft Entra ID 发送到 Microsoft Sentinel 的日志。 Microsoft Sentinel 将这些日志存储在链接到 Microsoft Sentinel 工作区的 Log Analytics 工作区中。
| 日志类型 | 说明 | 日志架构 |
|---|---|---|
| 审核日志 | 与用户和组管理、托管应用程序和目录活动相关的系统活动。 | AuditLogs |
| 登录日志 | 用户提供身份验证因素的交互式用户登录。 | SigninLogs |
| 非交互式用户登录日志 | 客户端代表用户执行的登录,用户无需进行任何交互或提供任何身份验证因素。 | AAD非互动用户登录日志 |
| 服务主体登录日志 | 不涉及任何用户的应用和服务主体的登录。 在此类登录中,应用或服务代表自己提供对资源进行身份验证或访问所需的凭据。 | AADServicePrincipalSignInLogs |
| 托管身份登录日志 | 通过 Azure 资源进行的登录,这些资源具有由 Azure 管理的机密。 有关详细信息,请参阅 什么是 Azure 资源的托管标识?。 | AADManagedIdentity登录日志 |
| AD FS 登录日志 | 通过 Active Directory 联合身份验证服务(AD FS)执行的登录。 | ADFSSignInLogs |
| 扩充的 Office 365 审核日志 | 与 Microsoft 365 应用相关的安全事件。 | EnrichedOffice365AuditLogs |
| 预配日志 | Microsoft Entra 预配服务预配的用户、组和角色的系统活动信息。 | AADProvisioningLogs |
| Microsoft Graph 活动日志 | 通过 Microsoft Graph API 访问租户资源的 HTTP 请求。 | MicrosoftGraphActivityLogs |
| 网络访问流量日志 | 网络访问流量和活动。 | NetworkAccessTraffic |
| 远程网络运行状况日志 | 深入了解远程网络的运行状况。 | RemoteNetworkHealthLogs |
| 用户风险事件 | Microsoft Entra ID Protection 生成的用户风险事件。 | AAD 用户风险事件 |
| 有风险的用户 | 在 Microsoft Entra ID Protection 中记录的风险用户。 | AADRiskyUsers |
| 有风险的服务主体 | 有关Microsoft Entra ID 保护标记为有风险的服务主体的信息。 | AADRiskyServicePrincipals |
| 服务主体风险事件 | 与 Microsoft Entra ID 保护记录的服务主体关联的风险检测。 | AADServicePrincipalRiskEvents |
重要说明
某些可用的日志类型目前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的其他法律条款,请参阅 Microsoft Azure 预览版的补充使用条款。
注意
有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。
启用 Microsoft Entra ID 数据连接器
搜索并启用 Microsoft Entra ID 连接器,如 “启用数据连接器”中所述。
安装 Microsoft Entra ID 解决方案(可选)
在 Microsoft Sentinel 的内容中心中,为 Microsoft Entra ID 安装解决方案,以获取预生成的工作簿、分析规则、操作手册等。 有关详细信息,请参阅发现和管理 Microsoft Sentinel 现成内容。
Next steps
本文档介绍了如何将 Microsoft Entra ID 连接到 Microsoft Sentinel。 要详细了解 Microsoft Sentinel,请参阅以下文章:
- 了解如何洞察数据和潜在威胁。
- 开始使用 Microsoft Sentinel 检测威胁。