Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I log ID di Microsoft Entra forniscono informazioni complete su utenti, applicazioni e reti che accedono al tenant di Microsoft Entra. Questo articolo illustra i tipi di log che è possibile raccogliere tramite il connettore dati Microsoft Entra ID, come abilitare il connettore per inviare dati a Microsoft Sentinel e come trovare i dati in Microsoft Sentinel.
Prerequisiti
Per trasmettere i log di AADRiskyServicePrincipals e AADServicePrincipalRiskEvents a Microsoft Sentinel, è necessaria una licenza Microsoft Entra Workload ID Premium.
Per inserire i log di accesso in Microsoft Sentinel, è necessaria una licenza Microsoft Entra ID P1 o P2. Qualsiasi licenza di Microsoft Entra ID (Gratuita/O365/P1 o P2) è sufficiente per inserire gli altri tipi di log. Altri addebiti per gigabyte possono essere applicati per Monitoraggio di Azure (Log Analytics) e Microsoft Sentinel.
All'utente deve essere assegnato il ruolo Collaboratore di Microsoft Sentinel nell'area di lavoro.
L'utente deve disporre del ruolo di Amministratore della sicurezza nel tenant da cui si vogliono trasmettere i log o di autorizzazioni equivalenti.
L'utente deve disporre delle autorizzazioni in lettura e scrittura per le impostazioni di diagnostica di Microsoft Entra per poter visualizzare lo stato della connessione.
Tipi di dati del connettore dati Microsoft Entra ID
Questa tabella elenca i log che è possibile inviare da Microsoft Entra ID a Microsoft Sentinel usando il connettore dati Microsoft Entra ID. Microsoft Sentinel archivia questi log nell'area di lavoro Log Analytics collegata all'area di lavoro di Microsoft Sentinel.
| Tipo di log | Descrizione | Schema del log |
|---|---|---|
| Log di controllo | Attività di sistema correlate alla gestione di utenti e gruppi, alle applicazioni gestite e alle attività della directory. | AuditLogs |
| Registri di accesso | Accessi utente interattivi in cui un utente fornisce un fattore di autenticazione. | SigninLogs |
| Log di accesso utente non interattivi | Accessi eseguiti da un client per conto di un utente senza alcuna interazione o fattore di autenticazione da parte dell'utente. | AADNonInteractiveUserSignInLogs |
| Log di accesso dell'entità servizio | Accessi da parte di app ed entità servizio che non coinvolgono alcun utente. In questi accessi, l'app o il servizio fornisce credenziali proprie per autenticare o accedere alle risorse. | AADServicePrincipalSignInLogs |
| Log di accesso delle Managed Identity | Accessi da parte delle risorse di Azure con segreti gestiti da Azure. Per altre informazioni, vedere Che cosa sono le identità gestite per le risorse di Azure? | AADManagedIdentitySignInLogs |
| Log di accesso di AD FS | Accessi eseguiti tramite Active Directory Federation Services (AD FS). | ADFSSignInLogs |
| Log di controllo di Office 365 arricchiti | Eventi di sicurezza correlati alle app di Microsoft 365. | EnrichedOffice365AuditLogs |
| Log di provisioning | Informazioni relative alle attività di sistema riguardanti utenti, gruppi e ruoli il cui provisioning è stato effettuato dal servizio di provisioning di Microsoft Entra. | AADProvisioningLogs |
| Log attività di Microsoft Graph | Richieste HTTP che accedono alle risorse del tenant tramite l'API Microsoft Graph. | MicrosoftGraphActivityLogs |
| Log del traffico di accesso alla rete | Traffico e attività di accesso alla rete. | NetworkAccessTraffic |
| Log di integrità della rete remota | Informazioni dettagliate sull'integrità delle reti remote. | RemoteNetworkHealthLogs |
| Eventi di rischio utente | Eventi di rischio utente generati da Microsoft Entra ID Protection. | AADUserRiskEvents |
| Utenti rischiosi | Utenti a rischio registrati da Microsoft Entra ID Protection. | AADRiskyUsers |
| Principali di servizio rischiosi | Informazioni sulle entità servizio contrassegnate come rischiose da Microsoft Entra ID Protection. | AADRiskyServicePrincipals |
| Eventi di rischio dell'entità servizio | Rilevamenti dei rischi associati alle entità servizio registrate da Microsoft Entra ID Protection. | Eventi di rischio del Service Principal di AAD |
Importante
Alcuni dei tipi di log disponibili sono attualmente disponibili in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altri termini legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rese disponibili a livello generale.
Note
Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.
Abilitare il connettore dati Microsoft Entra ID
Cercare e abilitare il connettore Microsoft Entra ID come descritto in Abilitare un connettore dati.
Installare la soluzione Microsoft Entra ID (facoltativo)
Installare la soluzione per Microsoft Entra ID dall'hub contenuto in Microsoft Sentinel per ottenere cartelle di lavoro predefinite, regole di analisi, playbook e altro ancora. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.
Passaggi successivi
In questo documento si è appreso come connettere Microsoft Entra ID a Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Iniziare a rilevare minacce con Microsoft Sentinel.