Azure SentinelにAzure ADのデータを取り込むため、「データコネクタ」の設定をします。
はじめに
Azure SentinelにAzure ADのデータを取り込むため、「データコネクタ」の設定をします。
取り込めるデータ
計7種類のログが取りこめます。
- サインインログ(対話型ユーザー サインイン ログ)
- 対話型ではないユーザー サインイン ログ
- サービス プリンシパルのサインイン ログ
- マネージド ID サインイン ログ
- AD FS サインイン ログ
- 監査ログ
- プロビジョニングログ
参考資料
下記を参考に作業しました。
docs.microsoft.com
作業実施
事前準備
Azure Sentinelは構築しておきます。
tarenagashi.hatenablog.jp
「サインインログ(対話型ユーザー サインイン ログ) 」の取り込みのみAzure AD Premium P1/P2ライセンスが必要です(有料ライセンス)。 ※その他についてはライセンス不要
Azure ADに接続する
Azure SentinelをAzure ADに接続します。
Azure Sentinelの「データコネクタ」から「Azure Active Directory」を選択する
取り込むログを有効にする
動作確認
メニュー「ログ」に取り込まれたログ毎のテーブルが作成されます。
- 有効にした時間以降のログのみ取りこまれるようです。
- ログ取り込みには10分程度の遅延があります。