Microsoft Entra verilerini Microsoft Sentinel'e bağlama
Microsoft Sentinel'in yerleşik bağlayıcısını kullanarak Microsoft Entra Id'den veri toplayabilir ve Microsoft Sentinel'e aktarabilirsiniz. Bağlayıcı aşağıdaki günlük türlerini akışla aktarmanıza olanak tanır:
-
Microsoft Entra bağlayıcısı artık şu anda ÖNIZLEME aşamasında olan aşağıdaki üç ek oturum açma günlüğü kategorisini içerir:
Etkileşimli olmayan kullanıcı oturum açma günlükleri, kullanıcıdan herhangi bir etkileşim veya kimlik doğrulama faktörü olmadan bir kullanıcı adına bir istemci tarafından gerçekleştirilen oturum açma işlemleri hakkında bilgi içerir.
Hiçbir kullanıcı içermeyen uygulamalar ve hizmet sorumluları tarafından yapılan oturum açma işlemleri hakkında bilgi içeren hizmet sorumlusu oturum açma günlükleri. Bu oturum açmalarda uygulama veya hizmet, kimlik doğrulaması yapmak veya kaynaklara erişmek için kendi adına bir kimlik bilgisi sağlar.
Azure tarafından yönetilen gizli dizileri olan Azure kaynakları tarafından yapılan oturum açma işlemleri hakkında bilgi içeren Yönetilen Kimlik oturum açma günlükleri. Daha fazla bilgi için bkz. Azure kaynakları için yönetilen kimlikler nelerdir?
Microsoft Entra sağlama hizmeti tarafından sağlanan kullanıcılar, gruplar ve roller hakkında sistem etkinliği bilgilerini içeren sağlama günlükleri (önizleme aşamasındadır).
Önemli
Kullanılabilir günlük türlerinden bazıları şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan diğer yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Not
ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.
Önkoşullar
Oturum açma günlüklerini Microsoft Sentinel'e almak için Bir Microsoft Entra Id P1 veya P2 lisansı gerekir. Diğer günlük türlerini almak için tüm Microsoft Entra ID lisansları (Ücretsiz/O365/P1 veya P2) yeterlidir. Azure İzleyici (Log Analytics) ve Microsoft Sentinel için gigabayt başına diğer ücretler uygulanabilir.
Kullanıcınıza çalışma alanında Microsoft Sentinel Katkıda Bulunanı rolü atanmalıdır.
Kullanıcınızın, günlükleri akışı yapmak istediğiniz kiracıda Güvenlik Yöneticisi rolüne veya eşdeğer izinlere sahip olması gerekir.
Bağlantı durumunu görebilmek için kullanıcınızın Microsoft Entra tanılama ayarlarında okuma ve yazma izinlerine sahip olması gerekir.
Microsoft Sentinel'de İçerik Merkezi'nden Microsoft Entra Id çözümünü yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.
Microsoft Entra Id'ye bağlanma
Microsoft Sentinel'de gezinti menüsünden Veri bağlayıcıları'nı seçin.
Veri bağlayıcıları galerisinden Microsoft Entra ID'yi ve ardından Bağlayıcı sayfasını aç'ı seçin.
Microsoft Sentinel'e akışla aktarmak istediğiniz günlük türlerinin yanındaki onay kutularını işaretleyin ve Bağlan'ı seçin.
Verilerinizi bulma
Başarılı bir bağlantı kurulduktan sonra veriler Aşağıdaki tablolarda LogManagement bölümünün altındaki Günlükler'de görünür:
SigninLogsAuditLogsAADNonInteractiveUserSignInLogsAADServicePrincipalSignInLogsAADManagedIdentitySignInLogsAADProvisioningLogsMSGraphActivityLogs
Microsoft Entra günlüklerini sorgulamak için sorgu penceresinin en üstüne ilgili tablo adını girin.
Sonraki adımlar
Bu belgede, Microsoft Entra Id'yi Microsoft Sentinel'e bağlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:
- Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
- Microsoft Sentinel ile tehditleri algılamaya başlayın.