Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Microsoft Entra ID registos fornecem informações abrangentes sobre utilizadores, aplicações e redes que acedem ao seu inquilino Microsoft Entra. Este artigo explica os tipos de registos que pode recolher com o conector de dados Microsoft Entra ID, como ativar o conector para enviar dados para Microsoft Sentinel e como localizar os seus dados no Microsoft Sentinel.
Pré-requisitos
É necessária uma licença ID de carga de trabalho Microsoft Entra Premium para transmitir em fluxo os registos AADRiskyServicePrincipals e AADServicePrincipalRiskEvents para Microsoft Sentinel.
É necessária uma licença P1 ou P2 Microsoft Entra ID para ingerir registos de início de sessão no Microsoft Sentinel. Qualquer licença Microsoft Entra ID (Gratuito/O365/P1 ou P2) é suficiente para ingerir os outros tipos de registo. Podem ser aplicados outros custos por gigabyte para Azure Monitor (Log Analytics) e Microsoft Sentinel.
Tem de ser atribuída ao utilizador a função contribuidor Microsoft Sentinel na área de trabalho.
O utilizador tem de ter a função Administrador de Segurança no inquilino a partir do qual pretende transmitir os registos ou as permissões equivalentes.
O utilizador tem de ter permissões de leitura e escrita nas definições de diagnóstico Microsoft Entra para poder ver o estado da ligação.
Microsoft Entra ID tipos de dados do conector de dados
Esta tabela lista os registos que pode enviar de Microsoft Entra ID para Microsoft Sentinel com o conector de dados Microsoft Entra ID. Microsoft Sentinel armazena estes registos na área de trabalho do Log Analytics ligada à área de trabalho Microsoft Sentinel.
| Tipo de registo | Descrição | Esquema de registo |
|---|---|---|
| Registos de auditoria | Atividade do sistema relacionada com a gestão de utilizadores e grupos, aplicações geridas e atividades de diretório. | AuditLogs |
| Registos de início de sessão | Inícios de sessão de utilizador interativos em que um utilizador fornece um fator de autenticação. | SigninLogs |
| Registos de início de sessão de utilizador não interativos | Inícios de sessão realizados por um cliente em nome de um utilizador sem qualquer fator de interação ou autenticação por parte do utilizador. | AADNonInteractiveUserSignInLogs |
| Registos de início de sessão do principal de serviço | Inícios de sessão por aplicações e principais de serviço que não envolvem nenhum utilizador. Nestes inícios de sessão, a aplicação ou o serviço fornece uma credencial em seu nome para autenticar ou aceder a recursos. | AADServicePrincipalSignInLogs |
| Registos de início de sessão da Identidade Gerida | Inícios de sessão por Azure recursos que têm segredos geridos por Azure. Para obter mais informações, veja O que são identidades geridas para Azure recursos? | AADManagedIdentitySignInLogs |
| Registos de início de sessão do AD FS | Inícios de sessão realizados através do Serviços de Federação do Active Directory (AD FS) (AD FS). | ADFSSignInLogs |
| Registos de auditoria de Office 365 melhorados | Eventos de segurança relacionados com aplicações do Microsoft 365. | EnrichedOffice365AuditLogs |
| Registos de aprovisionamento | Informações de atividade do sistema sobre utilizadores, grupos e funções aprovisionadas pelo serviço de aprovisionamento Microsoft Entra. | AADProvisioningLogs |
| Registos de atividades do Microsoft Graph | Pedidos HTTP para aceder aos recursos do seu inquilino através do Microsoft Graph API. | MicrosoftGraphActivityLogs |
| Registos de tráfego de acesso à rede | Tráfego e atividades de acesso à rede. | NetworkAccessTraffic |
| Registos de estado de funcionamento da rede remota | Informações sobre o estado de funcionamento das redes remotas. | RemoteNetworkHealthLogs |
| Eventos de risco do utilizador | Eventos de risco de utilizador gerados pelo Microsoft Entra ID Protection. | AADUserRiskEvents |
| Utilizadores de risco | Utilizadores de risco registados pelo Microsoft Entra ID Protection. | AADRiskyUsers |
| Principais de serviço de risco | Informações sobre principais de serviço sinalizados como arriscados pelo Microsoft Entra ID Protection. | AADRiskyServicePrincipals |
| Eventos de risco do principal de serviço | Deteções de risco associadas a principais de serviço registados pelo Microsoft Entra ID Protection. | AADServicePrincipalRiskEvents |
Importante
Alguns dos tipos de registo disponíveis estão atualmente em PRÉ-VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure para obter outros termos legais aplicáveis às funcionalidades Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Nota
Para obter informações sobre a disponibilidade de funcionalidades nas clouds do Governo norte-americano, veja as tabelas de Microsoft Sentinel na disponibilidade de funcionalidades da Cloud para clientes do Governo norte-americano.
Ativar o conector de dados Microsoft Entra ID
Procure e ative o conector Microsoft Entra ID, conforme descrito em Ativar um conector de dados.
Instalar a solução de Microsoft Entra ID (opcional)
Instale a solução para Microsoft Entra ID a partir do Hub de Conteúdos no Microsoft Sentinel para obter livros pré-criados, regras de análise, manuais de procedimentos e muito mais. Para obter mais informações, consulte Detetar e gerir Microsoft Sentinel conteúdo inicial.
Passos seguintes
Neste documento, aprendeu a ligar Microsoft Entra ID a Microsoft Sentinel. Para saber mais sobre Microsoft Sentinel, consulte os seguintes artigos: