Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os logs do Microsoft Entra ID fornecem informações abrangentes sobre usuários, aplicativos e redes que acessam seu tenant do Microsoft Entra. Este artigo explica os tipos de logs que você pode coletar usando o conector de dados do Microsoft Entra ID, como habilitar o conector para enviar dados ao Microsoft Sentinel e como encontrar seus dados no Microsoft Sentinel.
Pré-requisitos
Uma licença da Microsoft Entra Workload ID Premium é necessária para transmitir logs AADRiskyServicePrincipals e AADServicePrincipalRiskEvents para o Microsoft Sentinel.
Uma licença P1 ou P2 do Microsoft Entra ID é necessária para ingerir logs de entrada no Microsoft Sentinel. Qualquer licença do Microsoft Entra ID (gratuito/O365/P1/P2) é suficiente para ingerir os outros tipos de log. Outros encargos por gigabyte podem ser aplicados ao Azure Monitor (Log Analytics) e ao Microsoft Sentinel.
Deve ser atribuída ao usuário a função de Colaborador do Microsoft Sentinel no workspace.
Seu usuário deve ter a função Administrador de Segurança no locatário do qual você quer transmitir os logs ou as permissões equivalentes.
Seu usuário deve ter permissões de leitura e gravação em relação às configurações de diagnóstico do Microsoft Entra para poder ver o status da conexão.
Tipos de dados do conector de dados do Microsoft Entra ID
Esta tabela lista os logs que você pode enviar da ID do Microsoft Entra para o Microsoft Sentinel usando o conector de dados da ID do Microsoft Entra. O Microsoft Sentinel armazena esses logs no workspace do Log Analytics vinculado ao workspace do Microsoft Sentinel.
| Tipo de log | Descrição | Esquema de log |
|---|---|---|
| Logs de auditoria | Atividade do sistema relacionada ao gerenciamento de usuários e grupos, aplicativos gerenciados e atividades de diretório. | AuditLogs |
| Logs de conexão | Entradas interativas de usuários em que um usuário fornece um fator de autenticação. | SigninLogs |
| Log de entrada de usuário não interativo | Entradas executadas por um cliente em nome de um usuário sem qualquer fator de interação ou autenticação do usuário. | AADNonInteractiveUserSignInLogs |
| Logs de entrada do Service Principal | Entradas por aplicativos e entidades de serviço que não envolvem nenhum usuário. Nessas entradas, o aplicativo ou serviço fornece uma credencial em nome de si para autenticar ou acessar recursos. | AADServicePrincipalSignInLogs |
| Logs de entrada de identidades gerenciadas | Logons de recursos do Azure que têm credenciais gerenciadas pelo Azure. Para obter mais informações, consulte O que são identidades gerenciadas para recursos do Azure?. | AADManagedIdentitySignInLogs |
| Logs de entrada do AD FS | Entradas realizadas por meio dos Serviços de Federação do Active Directory (AD FS). | ADFSSignInLogs |
| Logs de auditoria enriquecidos do Office 365 | Eventos de segurança relacionados aos aplicativos do Microsoft 365. | RegistrosDeAuditoriaEnriquecidosDoOffice365 |
| Logs de provisionamento | Informações de atividade do sistema sobre usuários, grupos e funções provisionadas pelo serviço de provisionamento do Microsoft Entra. | AADProvisioningLogs |
| Logs de atividades do Microsoft Graph | Solicitações HTTP que acessam os recursos do locatário por meio da API do Microsoft Graph. | MicrosoftGraphActivityLogs |
| Logs de tráfego de acesso à rede | Tráfego e atividades de acesso à rede. | NetworkAccessTraffic |
| Logs de integridade da rede remota | Insights sobre a integridade das redes remotas. | RemoteNetworkHealthLogs |
| Eventos de risco do usuário | Eventos de risco do usuário gerados pelo Microsoft Entra ID Protection. | AADUserRiskEvents |
| Usuários arriscados | Usuários arriscados registrados pelo Microsoft Entra ID Protection. | AADRiskyUsers |
| Entidades de serviço arriscadas | Informações sobre entidades de serviço sinalizadas como arriscadas pelo Microsoft Entra ID Protection. | AADRiskyServicePrincipals |
| Eventos de risco de entidades de serviço | Detecções de risco associadas a entidades de serviço registradas pelo Microsoft Entra ID Protection. | AADServicePrincipalRiskEvents |
Importante
Alguns dos tipos de log disponíveis estão em VERSÃO PRÉVIA no momento. Confira os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para ver outros termos legais que se aplicam aos recursos do Azure em versão beta, versão prévia ou ainda não lançados em disponibilidade geral.
Observação
Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Habilitar o conector de dados do Microsoft Entra ID
Pesquise e habilite o conector do Microsoft Entra ID, conforme descrito em Habilitar um conector de dados.
Instalar a solução de ID do Microsoft Entra (opcional)
Instale a solução para Microsoft Entra ID do Content Hub no Microsoft Sentinel para obter pastas de trabalho, regras de análise, playbooks e muito mais. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.
Próximas etapas
Neste documento, você aprendeu a conectar o Microsoft Entra ID ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, confira os seguintes artigos:
- Saiba como obter visibilidade dos seus dados e de possíveis ameaças.
- Introdução à detecção de ameaças com o Microsoft Sentinel.