Condividi tramite


Connettere i dati di Microsoft Entra a Microsoft Sentinel

È possibile usare il connettore integrato di Microsoft Sentinel per raccogliere i dati da Microsoft Entra ID e trasmetterli in Microsoft Sentinel. Il connettore consente di trasmettere i tipi di log seguenti:

  • Log di accesso, che contengono informazioni sugli accessi utente interattivi in cui un utente fornisce un fattore di autenticazione.

    Il connettore Microsoft Entra include ora le tre categorie aggiuntive seguenti di log di accesso, tutte attualmente in anteprima:

    • Log di accesso utente non interattivi, che contengono informazioni sugli accessi eseguiti da un client per conto di un utente senza alcuna interazione o fattore di autenticazione da parte dell'utente.

    • Log di accesso dell'entità servizio, che contengono informazioni sugli accessi da parte di app e entità servizio che non coinvolgono alcun utente. In questi accessi, l'app o il servizio fornisce una credenziale, ad esempio il proprio certificato per autenticare o accedere alle risorse.

    • Log di accesso dell'identità gestita, che contengono informazioni sugli accessi da parte delle risorse di Azure che dispongono di segreti gestiti da Azure. Per altre informazioni, vedere Informazioni sulle identità gestite per le risorse di Azure

  • Log di controllo, che contengono informazioni sulle attività di sistema relative alla gestione di utenti e gruppi, alle applicazioni gestite e alle attività della directory.

  • Log di provisioning (anche in ANTEPRIMA), che contengono informazioni sulle attività di sistema su utenti, gruppi e ruoli di cui è stato effettuato il provisioning dal servizio di provisioning Di Microsoft Entra.

  • Log attività di Microsoft Graph, che contengono informazioni sulle richieste HTTP che accedono alle risorse del tenant tramite l'API Microsoft Graph.

Importante

Alcuni dei tipi di log disponibili sono attualmente disponibili in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altri termini legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.

Prerequisiti

  • È necessaria una licenza P1 o P2 di Microsoft Entra ID per inserire i log di accesso in Microsoft Sentinel. Qualsiasi licenza di Microsoft Entra ID (free/O365/P1 o P2) è sufficiente per inserire gli altri tipi di log. Altri addebiti per gigabyte possono essere applicati per Monitoraggio di Azure (Log Analytics) e Microsoft Sentinel.

  • All'utente deve essere assegnato il ruolo Collaboratore Microsoft Sentinel nell'area di lavoro.

  • L'utente deve avere il ruolo di amministratore della sicurezza nel tenant da cui si vogliono trasmettere i log o le autorizzazioni equivalenti.

  • L'utente deve disporre delle autorizzazioni di lettura e scrittura per le impostazioni di diagnostica di Microsoft Entra per poter visualizzare lo stato della connessione.

  • Installare la soluzione per Microsoft Entra ID dall'hub del contenuto in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

Stabilire la connessione a Microsoft Entra ID

  1. In Microsoft Sentinel selezionare Connettori dati dal menu di spostamento.

  2. Nella raccolta connettori dati selezionare Microsoft Entra ID e quindi selezionare Apri pagina connettore.

  3. Contrassegnare le caselle di controllo accanto ai tipi di log da trasmettere in Microsoft Sentinel e selezionare Connetti.

Trovare i dati

Dopo aver stabilito una connessione, i dati vengono visualizzati in Log, nella sezione LogManagement , nelle tabelle seguenti:

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs
  • MSGraphActivityLogs

Per eseguire una query sui log di Microsoft Entra, immettere il nome della tabella pertinente nella parte superiore della finestra di query.

Passaggi successivi

In questo documento si è appreso come connettere Microsoft Entra ID a Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: