Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra-ID-Protokolle bieten umfassende Informationen zu Benutzern, Anwendungen und Netzwerken, die auf Ihren Microsoft Entra-Mandanten zugreifen. In diesem Artikel werden die Arten von Protokollen erläutert, die Sie mithilfe des Microsoft Entra ID-Datenconnectors sammeln können, wie der Connector Daten an Microsoft Sentinel senden kann und wie Sie Ihre Daten in Microsoft Sentinel finden.
Voraussetzungen
Zum Streamen der Protokolle von AADRiskyServicePrincipals und AADServicePrincipalRiskEvents an Microsoft Sentinel ist eine Microsoft Entra Workload ID Premium-Lizenz erforderlich.
Für die Aufnahme von Anmeldeprotokollen in Microsoft Sentinel ist eine Microsoft Entra ID P1- oder P2-Lizenz erforderlich. Jede Microsoft Entra ID-Lizenz (Free/O365/P1 oder P2) reicht aus, um die anderen Protokolltypen aufzunehmen. Andere Kosten pro Gigabyte können für Azure Monitor (Log Analytics) und Microsoft Sentinel gelten.
Ihrem Benutzer muss die Rolle Microsoft Sentinel Contributor für den Arbeitsbereich zugewiesen sein.
Ihr Benutzer muss über die Rolle Sicherheitsadministrator für den Mandanten verfügen, aus dem Sie die Protokolle streamen möchten, oder über die entsprechenden Berechtigungen.
Ihr Benutzer muss über Lese- und Schreibberechtigungen für die Microsoft Entra-Diagnoseeinstellungen verfügen, um den Verbindungsstatus sehen zu können.
Datentypen des Microsoft Entra ID-Datenkonnektors
In dieser Tabelle sind die Protokolle aufgeführt, die Sie über den Microsoft Entra ID-Datenconnector an Microsoft Sentinel senden können. Microsoft Sentinel speichert diese Protokolle im Log Analytics-Arbeitsbereich, der mit Ihrem Microsoft Sentinel-Arbeitsbereich verknüpft ist.
| Protokolltyp | Beschreibung | Protokollschema |
|---|---|---|
| Überwachungsprotokolle | Systemaktivitäten im Zusammenhang mit der Benutzer- und Gruppenverwaltung, verwalteten Anwendungen und Verzeichnisaktivitäten. | AuditLogs |
| Anmeldeprotokolle | Interaktive Benutzeranmeldungen, bei denen ein Benutzer einen Authentifizierungsfaktor bereitstellt. | SigninLogs |
| Nicht interaktive Benutzeranmeldungsprotokolle | Anmeldungen, die von einem Client im Auftrag eines Benutzers ohne Interaktions- oder Authentifizierungsfaktor des Benutzers ausgeführt werden. | AADNonInteractiveUserSignInLogs |
| Serviceprinzipal-Anmeldeprotokolle | Anmeldungen durch Apps und Dienstprinzipale, bei denen kein Benutzer beteiligt ist. Bei diesen Anmeldungen stellt die App oder der Dienst eigene Anmeldeinformationen für die Authentifizierung oder den Zugriff auf Ressourcen bereit. | AADServicePrincipalSignInLogs |
| Protokolle für die Anmeldung über verwaltete Identitäten | Anmeldungen von Azure-Ressourcen, deren Geheimnisse von Azure verwaltet werden. Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?. | AADManagedIdentitySignInLogs |
| AD FS-Anmeldeprotokolle | Anmeldungen, die über Active Directory-Verbunddienste (AD FS) ausgeführt werden. | ADFSSignInLogs |
| Erweiterte Office 365-Überwachungsprotokolle | Sicherheitsereignisse im Zusammenhang mit Microsoft 365-Apps. | ErweiterteOffice365Prüfprotokolle |
| Bereitstellungsprotokolle | Systemaktivitätsinformationen zu Benutzern, Gruppen und Rollen, die vom Microsoft Entra-Bereitstellungsdienst bereitgestellt werden. | AADProvisioningLogs |
| Microsoft Graph-Aktivitätsprotokolle | HTTP-Anforderungen für den Zugriff auf die Ressourcen Ihres Mandanten über die Microsoft Graph-API. | MicrosoftGraphActivityLogs |
| Netzwerkzugriffsdatenverkehrsprotokolle | Netzwerkverkehr und Zugriffsaktivitäten. | NetworkAccessTraffic |
| Remote-Netzwerk-Gesundheitsprotokolle | Einblicke in die Gesundheit von Remotenetzwerken. | RemoteNetworkHealthLogs |
| Benutzerrisikoereignisse | Benutzerrisikoereignisse, die von Microsoft Entra ID Protection generiert werden. | AADUserRiskEvents |
| Riskante Benutzer | Riskante Benutzer, die von Microsoft Entra ID Protection protokolliert wurden. | AADRiskyUsers |
| Riskante Serviceprinzipale | Informationen zu Dienstprinzipalen, die von Microsoft Entra ID Protection als riskant gekennzeichnet sind. | AADRiskyServicePrincipals |
| Dienstprinzipalrisikoereignisse | Risikoerkennungen im Zusammenhang mit Dienstprinzipalen, die von Microsoft Entra ID Protection erfasst werden. | AADServicePrincipalRiskEvents |
Wichtig
Es befinden sich einige der verfügbaren Protokolltypen derzeit in der VORSCHAUPHASE. Ergänzende Nutzungsbedingungen für Microsoft Azure-Vorschauversionen enthalten weitere rechtliche Bedingungen. Sie gelten für die Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Hinweis
Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.
Aktivieren Sie den Microsoft Entra ID-Datenconnector
Suchen und aktivieren Sie den Microsoft Entra ID-Connector, wie unter Aktivieren eines Datenconnectors beschrieben.
Installieren der Microsoft Entra ID-Lösung (optional)
Installieren Sie die Lösung für Microsoft Entra-ID aus dem Inhaltshub in Microsoft Sentinel, um vorgefertigte Arbeitsmappen, Analyseregeln, Playbooks und mehr zu erhalten. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie Microsoft Entra ID mit Microsoft Sentinel verbinden. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
- Beginnen Sie mit der Erkennung von Bedrohungen mit Microsoft Sentinel.