Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Entra ID logboeken bieden uitgebreide informatie over gebruikers, toepassingen en netwerken die toegang hebben tot uw Microsoft Entra tenant. In dit artikel wordt uitgelegd welke typen logboeken u kunt verzamelen met behulp van de Microsoft Entra ID-gegevensconnector, hoe u de connector in staat stelt om gegevens naar Microsoft Sentinel te verzenden en hoe u uw gegevens kunt vinden in Microsoft Sentinel.
Vereisten
Een Microsoft Entra Workload-id Premium-licentie is vereist voor het streamen van AADRiskyServicePrincipals- en AADServicePrincipalRiskEvents-logboeken naar Microsoft Sentinel.
Een Microsoft Entra ID P1- of P2-licentie is vereist om aanmeldingslogboeken op te nemen in Microsoft Sentinel. Elke Microsoft Entra ID licentie (Free/O365/P1 of P2) is voldoende om de andere logboektypen op te nemen. Andere kosten per gigabyte kunnen van toepassing zijn op Azure Monitor (Log Analytics) en Microsoft Sentinel.
Aan de gebruiker moet de rol Microsoft Sentinel Inzender voor de werkruimte zijn toegewezen.
Uw gebruiker moet de rol Beveiligingsbeheerder hebben voor de tenant van waaruit u de logboeken wilt streamen, of de gelijkwaardige machtigingen.
Uw gebruiker moet lees- en schrijfmachtigingen hebben voor de Microsoft Entra diagnostische instellingen om de verbindingsstatus te kunnen zien.
gegevenstypen Microsoft Entra ID-gegevensconnector
Deze tabel bevat de logboeken die u van Microsoft Entra ID naar Microsoft Sentinel kunt verzenden met behulp van de Microsoft Entra ID-gegevensconnector. Microsoft Sentinel slaat deze logboeken op in de Log Analytics-werkruimte die is gekoppeld aan uw Microsoft Sentinel werkruimte.
| Logboektype | Beschrijving | Logboekschema |
|---|---|---|
| Auditlogboeken | Systeemactiviteit met betrekking tot gebruikers- en groepsbeheer, beheerde toepassingen en adreslijstactiviteiten. | AuditLogs |
| Aanmeldingslogboeken | Interactieve gebruikersaanmelding waarbij een gebruiker een verificatiefactor biedt. | SigninLogs |
| Niet-interactieve aanmeldingslogboeken van gebruikers | Aanmeldingen die door een client namens een gebruiker worden uitgevoerd zonder interactie of verificatiefactor van de gebruiker. | AADNonInteractiveUserSignInLogs |
| Aanmeldingslogboeken van service-principal | Aanmeldingen door apps en service-principals waarbij geen gebruiker betrokken is. In deze aanmeldingen verstrekt de app of service namens de app of service een referentie om resources te verifiëren of te openen. | AADServicePrincipalSignInLogs |
| Aanmeldingslogboeken voor beheerde identiteit | Aanmeldingen door Azure resources met geheimen die worden beheerd door Azure. Zie Wat zijn beheerde identiteiten voor Azure resources? voor meer informatie. | AADManagedIdentitySignInLogs |
| Aanmeldingslogboeken van AD FS | Aanmeldingen uitgevoerd via Active Directory Federation Services (AD FS). | ADFSSignInLogs |
| Verrijkte Office 365 auditlogboeken | Beveiligingsevenementen met betrekking tot Microsoft 365-apps. | VerrijkteOffice365AuditLogs |
| Inrichtingslogboeken | Informatie over systeemactiviteit over gebruikers, groepen en rollen die zijn ingericht door de Microsoft Entra inrichtingsservice. | AADProvisioningLogs |
| Microsoft Graph-activiteitenlogboeken | HTTP-aanvragen voor toegang tot de resources van uw tenant via de Microsoft Graph API. | MicrosoftGraphActivityLogs |
| Verkeerslogboeken voor netwerktoegang | Netwerktoegangsverkeer en -activiteiten. | NetworkAccessTraffic |
| Statuslogboeken van externe netwerken | Inzicht in de status van externe netwerken. | RemoteNetworkHealthLogs |
| Gebeurtenissen voor gebruikersrisico's | Gebeurtenissen met gebruikersrisico's die worden gegenereerd door Microsoft Entra ID Protection. | AADUserRiskEvents |
| Riskante gebruikers | Riskante gebruikers geregistreerd door Microsoft Entra ID Protection. | AADRiskyUsers |
| Riskante service-principals | Informatie over service-principals die als riskant zijn gemarkeerd door Microsoft Entra ID Protection. | AADRiskyServicePrincipals |
| Risico-gebeurtenissen voor service-principals | Risicodetecties die zijn gekoppeld aan service-principals die zijn geregistreerd door Microsoft Entra ID Protection. | AADServicePrincipalRiskEvents |
Belangrijk
Sommige van de beschikbare logboektypen zijn momenteel beschikbaar in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor andere juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.
Opmerking
Zie voor informatie over de beschikbaarheid van functies in clouds van de Amerikaanse overheid de Microsoft Sentinel tabellen in Beschikbaarheid van cloudfuncties voor klanten van de Amerikaanse overheid.
De Microsoft Entra ID-gegevensconnector inschakelen
Zoek en schakel de Microsoft Entra ID-connector in, zoals beschreven in Een gegevensconnector inschakelen.
De Microsoft Entra ID-oplossing installeren (optioneel)
Installeer de oplossing voor Microsoft Entra ID vanuit de Content Hub in Microsoft Sentinel om vooraf gemaakte werkmappen, analyseregels, playbooks en meer op te halen. Zie Out-of-the-Box-inhoud van Microsoft Sentinel detecteren en beheren voor meer informatie.
Volgende stappen
In dit document hebt u geleerd hoe u Microsoft Entra ID kunt verbinden met Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Meer informatie over het verkrijgen van inzicht in uw gegevens en mogelijke bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.