Microsoft Entra ID ログは、Microsoft Entra テナントにアクセスするユーザー、アプリケーション、ネットワークに関する包括的な情報を提供します。 この記事では、Microsoft Entra ID データ コネクタを使用して収集できるログの種類、コネクタが Microsoft Sentinel にデータを送信できるようにする方法、および Microsoft Sentinel でデータを検索する方法について説明します。
前提条件
AADRiskyServicePrincipals ログと AADServicePrincipalRiskEvents ログを Microsoft Sentinel にストリーミングするには、Microsoft Entra Workload ID Premium ライセンスが必要です。
サインイン ログを Microsoft Sentinel に取り込むには、Microsoft Entra ID P1 または P2 ライセンスが必要です。 他の種類のログを取り込む場合、任意の Microsoft Entra ID ライセンス (Free/O365/P1 または P2) で十分です。 Azure Monitor (Log Analytics) と Microsoft Sentinel には、ギガバイト単位のその他の料金が適用される場合があります。
ユーザーには、ワークスペースの Microsoft Azure Sentinel 共同作成者ロールを割り当てる必要があります。
ユーザーには、ログをストリーミングするテナントに対するセキュリティ管理者ロール、または同等のアクセス許可が必要です。
接続の状態を確認できるようにするために、ユーザーは Microsoft Entra 診断設定に対する読み取りおよび書き込みアクセス許可を持っている必要があります。
Microsoft Entra ID データ コネクタのデータ型
次の表に、Microsoft Entra ID データ コネクタを使用して Microsoft Entra ID から Microsoft Sentinel に送信できるログを示します。 Microsoft Sentinel は、これらのログを、Microsoft Sentinel ワークスペースにリンクされた Log Analytics ワークスペースに格納します。
| ログの種類 | 説明 | ログ スキーマ |
|---|---|---|
| 監査ログ | ユーザーとグループの管理、マネージド アプリケーション、ディレクトリ アクティビティに関連するシステム アクティビティ。 | AuditLogs |
| サインイン ログ | ユーザーが認証要素を提供する対話型ユーザー サインイン。 | SigninLogs |
| 非対話型ユーザー サインイン ログ | ユーザーの操作や認証要素なしで、ユーザーの代わりにクライアントによって実行されるサインイン。 | AADの非対話型ユーザーサインインログ |
| サービス プリンシパルのサインイン ログ | ユーザーを含まないアプリとサービス プリンシパルによるサインイン。 このサインインの場合、認証またはリソースへのアクセス用の資格情報が、アプリまたはサービスによって、それ自身のために提供されます。 | AADサービスプリンシパルサインインログ |
| マネージド ID サインイン ログ | Azure によって管理されるシークレットを持つ Azure リソースによるサインイン。 詳細については、「Azure リソースのマネージド ID とは」を参照してください。 | AADManagedIdentityサインインログ |
| AD FS サインイン ログ | Active Directory フェデレーション サービス (AD FS) を介して実行されるサインイン。 | ADFSSignInLogs |
| 強化された Office 365 監査ログ | Microsoft 365 アプリに関連するセキュリティ イベント。 | 強化されたOffice365監査ログ |
| プロビジョニング ログ | Microsoft Entra プロビジョニング サービスによってプロビジョニングされたユーザー、グループ、ロールに関するシステム アクティビティ情報。 | AADProvisioningLogs |
| Microsoft Graph アクティビティ ログ | Microsoft Graph API を使用してテナントのリソースにアクセスする HTTP 要求。 | MicrosoftGraphActivityLogs |
| ネットワーク アクセス トラフィック ログ | ネットワーク アクセス トラフィックとアクティビティ。 | NetworkAccessTraffic |
| リモート ネットワークの正常性ログ | リモート ネットワークの正常性に関する分析情報。 | RemoteNetworkHealthLogs |
| ユーザー リスク イベント | Microsoft Entra ID Protection によって生成されるユーザー リスク イベント。 | AADUserRiskEvents |
| 危険なユーザー | Microsoft Entra ID Protection によってログに記録される危険なユーザー。 | AADRiskyUsers |
| 危険なサービス主体 | Microsoft Entra ID Protection によって危険なフラグが設定されたサービス プリンシパルに関する情報。 | AADリスキーサービスプリンシパル |
| サービス プリンシパル リスク イベント | Microsoft Entra ID Protection によってログに記録されたサービス プリンシパルに関連付けられているリスク検出。 | AADサービスプリンシパルリスクイベント |
重要
使用可能なログの種類の一部は現在 PREVIEW 段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
注
米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。
Microsoft Entra ID データ コネクタを有効にする
「データ コネクタを有効にする」の説明に従って 、Microsoft Entra IDコネクタを検索して有効にします。
Microsoft Entra ID ソリューションをインストールする (省略可能)
Microsoft Sentinel のコンテンツ ハブから Microsoft Entra ID のソリューションをインストールして、事前構築済みのブック、分析ルール、プレイブックなどを取得します。 詳細については、「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」を参照してください。
次のステップ
このドキュメントでは、Microsoft Entra ID を Microsoft Sentinel に接続する方法について学習しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。
- データと潜在的な脅威を可視化する方法についての説明。
- Microsoft Sentinel を使用した脅威の検出の概要。