Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os logs de ID do Microsoft Entra fornecem informações abrangentes sobre usuários, aplicativos e redes que acessam seu locatário do Microsoft Entra. Este artigo explica os tipos de logs que você pode coletar usando o conector de dados do Microsoft Entra ID, como habilitar o conector para enviar dados para o Microsoft Sentinel e como localizar seus dados no Microsoft Sentinel.
Pré-requisitos
É necessária uma licença Premium do Microsoft Entra Workload ID para transmitir os logs AADRiskyServicePrincipals e AADServicePrincipalRiskEvents para o Microsoft Sentinel.
É necessária uma licença Microsoft Entra ID P1 ou P2 para integrar registos de início de sessão no Microsoft Sentinel. Qualquer licença do Microsoft Entra ID (Free/O365/P1 ou P2) é suficiente para ingerir os outros tipos de log. Outras cobranças por gigabyte podem ser aplicadas ao Azure Monitor (Log Analytics) e ao Microsoft Sentinel.
Seu usuário deve receber a função de Colaborador do Microsoft Sentinel no espaço de trabalho.
Seu usuário deve ter a função de Administrador de Segurança no locatário do qual você deseja transmitir os logs ou as permissões equivalentes.
Seu usuário deve ter permissões de leitura e gravação para as configurações de diagnóstico do Microsoft Entra para poder ver o status da conexão.
Tipos de dados do conector de dados do Microsoft Entra ID
Esta tabela lista os logs que você pode enviar do Microsoft Entra ID para o Microsoft Sentinel usando o conector de dados do Microsoft Entra ID. O Microsoft Sentinel armazena esses logs no espaço de trabalho do Log Analytics vinculado ao seu espaço de trabalho do Microsoft Sentinel.
| Tipo de log | Descrição | Esquema de log |
|---|---|---|
| Logs de auditoria | Atividade do sistema relacionada ao gerenciamento de usuários e grupos, aplicativos gerenciados e atividades de diretório. | AuditLogs |
| Registos de login | Entradas de usuário interativas em que um usuário fornece um fator de autenticação. | SigninLogs |
| Registos de início de sessão de utilizador não interativos | Inícios de sessão realizados por um cliente em nome de um utilizador, sem qualquer interação ou fator de autenticação do utilizador. | Registos de Início de Sessão para Utilizador Não-Interativo do AAD |
| Logs de entrada do principal de serviço | Inícios de sessão por aplicações e principais de serviço que não envolvem qualquer utilizador. Nesses logins, o aplicativo ou serviço fornece uma credencial em seu próprio nome para autenticar ou acessar recursos. | AADServicePrincipalSignInLogs |
| Registos de início de sessão do Managed Identity | Entradas por recursos do Azure que têm segredos gerenciados pelo Azure. Para obter mais informações, veja O que são identidades geridas para os recursos do Azure?. | AADManagedIdentitySignInLogs |
| Registos de início de sessão do AD FS | Inícios de sessão realizados por meio dos Serviços de Federação do Active Directory (AD FS). | ADFSSignInLogs |
| Logs de auditoria enriquecidos do Office 365 | Eventos de segurança relacionados a aplicativos do Microsoft 365. | Registos de Auditoria Enriquecidos do Office 365 |
| Logs de provisionamento | Informações de atividade do sistema sobre usuários, grupos e funções provisionadas pelo serviço de provisionamento Microsoft Entra. | AADProvisioningLogs |
| Logs de atividades do Microsoft Graph | Solicitações HTTP acessando os recursos do locatário por meio da API do Microsoft Graph. | MicrosoftGraphActivityLogs |
| Logs de tráfego de acesso à rede | Tráfego e atividades de acesso à rede. | NetworkAccessTraffic |
| Registos de integridade da rede remota | Informações sobre a integridade das redes remotas. | RemoteNetworkHealthLogs |
| Eventos de risco do usuário | Eventos de risco do usuário gerados pelo Microsoft Entra ID Protection. | AADUserRiskEvents |
| Utilizadores arriscados | Usuários arriscados registrados pelo Microsoft Entra ID Protection. | AADRiskyUsuários |
| Entidades de serviço arriscadas | Informações sobre entidades de serviço sinalizadas como arriscadas pelo Microsoft Entra ID Protection. | AADRiskyServicePrincipals |
| Eventos de risco da entidade de serviço | Deteções de risco associadas a entidades de serviço registadas pela Proteção de ID do Microsoft Entra. | AADServicePrincipalRiskEvents |
Importante
Alguns dos tipos de log disponíveis estão atualmente em Pré-visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter outros termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Ativar o conector de dados do Microsoft Entra ID
Procure e habilite o conector Microsoft Entra ID conforme descrito em Habilitar um conector de dados.
Instalar a solução Microsoft Entra ID (opcional)
Instale a solução para o Microsoft Entra ID a partir do Hub de Conteúdo no Microsoft Sentinel para obter pastas de trabalho pré-criadas, regras de análise, playbooks e muito mais. Para obter mais informações, consulte Descobrir e gerir o conteúdo pré-concebido do Microsoft Sentinel.
Próximos passos
Neste documento, você aprendeu como conectar o Microsoft Entra ID ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: