たれながし.info

とあるITエンジニアの備忘録

Azure SentinelにAzure ADのデータを接続する

Azure SentinelにAzure ADのデータを取り込むため、「データコネクタ」の設定をします。

はじめに

Azure SentinelにAzure ADのデータを取り込むため、「データコネクタ」の設定をします。

取り込めるデータ

計7種類のログが取りこめます。

  • サインインログ(対話型ユーザー サインイン ログ)
  • 対話型ではないユーザー サインイン ログ
  • サービス プリンシパルのサインイン ログ
  • マネージド ID サインイン ログ
  • AD FS サインイン ログ
  • 監査ログ
  • プロビジョニングログ

参考資料

下記を参考に作業しました。
docs.microsoft.com

作業実施

事前準備

Azure Sentinelは構築しておきます。
tarenagashi.hatenablog.jp


「サインインログ(対話型ユーザー サインイン ログ) 」の取り込みのみAzure AD Premium P1/P2ライセンスが必要です(有料ライセンス)。 ※その他についてはライセンス不要
f:id:tarenagashi_info:20210926013935p:plain

Azure ADに接続する

Azure SentinelをAzure ADに接続します。

Azure Sentinelの「データコネクタ」から「Azure Active Directory」を選択する
f:id:tarenagashi_info:20210926014131p:plain


取り込むログを有効にする
f:id:tarenagashi_info:20210926014303p:plain

動作確認

メニュー「ログ」に取り込まれたログ毎のテーブルが作成されます。
f:id:tarenagashi_info:20210926014423p:plain

  • 有効にした時間以降のログのみ取りこまれるようです。
  • ログ取り込みには10分程度の遅延があります。