Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra ID Protokolle bieten umfassende Informationen zu Benutzern, Anwendungen und Netzwerken, die auf Ihren Microsoft Entra-Mandanten zugreifen. In diesem Artikel werden die Arten von Protokollen erläutert, die Sie mit dem Microsoft Entra ID-Datenconnector sammeln können, wie Sie es dem Connector ermöglichen, Daten an Microsoft Sentinel zu senden, und wie Sie Ihre Daten in Microsoft Sentinel finden.
Voraussetzungen
Eine Microsoft Entra Workload ID Premium-Lizenz ist erforderlich, um AADRiskyServicePrincipals- und AADServicePrincipalRiskEvents-Protokolle an Microsoft Sentinel zu streamen.
Eine Microsoft Entra ID P1- oder P2-Lizenz ist erforderlich, um Anmeldeprotokolle in Microsoft Sentinel zu erfassen. Jede Microsoft Entra ID Lizenz (Free/O365/P1 oder P2) reicht aus, um die anderen Protokolltypen zu erfassen. Für Azure Monitor (Log Analytics) und Microsoft Sentinel fallen möglicherweise weitere Gebühren pro Gigabyte an.
Ihrem Benutzer muss die Rolle Microsoft Sentinel Mitwirkender im Arbeitsbereich zugewiesen sein.
Ihr Benutzer muss über die Rolle "Sicherheitsadministrator " für den Mandanten verfügen, von dem Sie die Protokolle streamen möchten, oder über die entsprechenden Berechtigungen.
Ihr Benutzer muss über Lese- und Schreibberechtigungen für die Microsoft Entra Diagnoseeinstellungen verfügen, um die Verbindung status sehen zu können.
Microsoft Entra ID Datentypen des Datenconnectors
In dieser Tabelle sind die Protokolle aufgeführt, die Sie mithilfe des Microsoft Entra ID-Datenconnectors von Microsoft Entra ID an Microsoft Sentinel senden können. Microsoft Sentinel speichert diese Protokolle im Log Analytics-Arbeitsbereich, der mit Ihrem Microsoft Sentinel-Arbeitsbereich verknüpft ist.
| Protokolltyp | Beschreibung | Protokollschema |
|---|---|---|
| Überwachungsprotokolle | Systemaktivitäten im Zusammenhang mit benutzer- und gruppenverwaltung, verwalteten Anwendungen und Verzeichnisaktivitäten. | AuditLogs |
| Anmeldeprotokolle | Interaktive Benutzeranmeldungen, bei denen ein Benutzer einen Authentifizierungsfaktor bereitstellt. | SigninLogs |
| Nicht interaktive Benutzeranmeldungsprotokolle | Anmeldungen, die von einem Client im Namen eines Benutzers ohne Interaktion oder Authentifizierungsfaktor des Benutzers durchgeführt werden. | AADNonInteractiveUserSignInLogs |
| Anmeldeprotokolle für Dienstprinzipale | Anmeldungen nach Apps und Dienstprinzipalen, die keine Benutzer einbeziehen. Bei diesen Anmeldungen stellt die App oder der Dienst Anmeldeinformationen in ihrem eigenen Namen bereit, um sich zu authentifizieren oder auf Ressourcen zuzugreifen. | AADServicePrincipalSignInLogs |
| Anmeldeprotokolle für verwaltete Identitäten | Anmeldungen nach Azure Ressourcen, deren Geheimnisse von Azure verwaltet werden. Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure Ressourcen? | AADManagedIdentitySignInLogs |
| AD FS-Anmeldeprotokolle | Anmeldungen, die über Active Directory-Verbunddienste (AD FS) (AD FS) durchgeführt werden. | ADFSSignInLogs |
| Angereicherte Office 365 Überwachungsprotokolle | Sicherheitsereignisse im Zusammenhang mit Microsoft 365-Apps. | EnrichedOffice365AuditLogs |
| Bereitstellungsprotokolle | Systemaktivitätsinformationen zu Benutzern, Gruppen und Rollen, die vom Microsoft Entra-Bereitstellungsdienst bereitgestellt werden. | AADProvisioningLogs |
| Microsoft Graph-Aktivitätsprotokolle | HTTP-Anforderungen, die über die Microsoft-Graph-API auf die Ressourcen Ihres Mandanten zugreifen. | MicrosoftGraphActivityLogs |
| Protokolle für Netzwerkzugriffsdatenverkehr | Netzwerkzugriffsdatenverkehr und -aktivitäten. | NetworkAccessTraffic |
| Remotenetzwerkintegritätsprotokolle | Einblicke in die Integrität von Remotenetzwerken. | RemoteNetworkHealthLogs |
| Benutzerrisikoereignisse | Von Microsoft Entra ID Protection generierte Benutzerrisikoereignisse. | AADUserRiskEvents |
| Riskante Benutzer | Risikobenutzer, die von Microsoft Entra ID Protection protokolliert werden. | AADRiskyUsers |
| Riskante Dienstprinzipale | Informationen zu Dienstprinzipalen, die von Microsoft Entra ID Protection als riskant gekennzeichnet sind. | AADRiskyServicePrincipals |
| Risikoereignisse des Dienstprinzipals | Risikoerkennungen im Zusammenhang mit Dienstprinzipalen, die von Microsoft Entra ID Protection protokolliert werden. | AADServicePrincipalRiskEvents |
Wichtig
Einige der verfügbaren Protokolltypen befinden sich derzeit in der VORSCHAU. In den ergänzenden Nutzungsbedingungen für Microsoft Azure Previews finden Sie weitere rechtliche Bestimmungen, die für Azure Features gelten, die sich als Betaversion, Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
Hinweis
Informationen zur Featureverfügbarkeit in Clouds für US-Behörden finden Sie unter Microsoft Sentinel Tabellen unter Verfügbarkeit von Cloudfeatures für US Government-Kunden.
Aktivieren des Microsoft Entra ID-Datenconnectors
Suchen Und aktivieren Sie den Microsoft Entra ID Connector, wie unter Aktivieren eines Datenconnectors beschrieben.
Installieren der Microsoft Entra ID-Lösung (optional)
Installieren Sie die Lösung für Microsoft Entra ID aus dem Inhaltshub in Microsoft Sentinel, um vordefinierte Arbeitsmappen, Analyseregeln, Playbooks und vieles mehr zu erhalten. Weitere Informationen finden Sie unter Ermitteln und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie Microsoft Entra ID mit Microsoft Sentinel verbinden. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
- Erste Schritte beim Erkennen von Bedrohungen mit Microsoft Sentinel.