Postupy: Export rizikových dat
Microsoft Entra ID ukládá sestavy a signály zabezpečení po definovanou dobu. Pokud jde o informace o riziku, které období nemusí být dostatečně dlouhé.
Sestava / signál | Microsoft Entra ID Free | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
---|---|---|---|
Protokoly auditu | 7 dní | 30 dní | 30 dní |
Přihlášení | 7 dní | 30 dní | 30 dní |
Využití vícefaktorového ověřování Microsoft Entra | 30 dní | 30 dní | 30 dní |
Riziková přihlášení | 7 dní | 30 dní | 30 dní |
Organizace se můžou rozhodnout ukládat data po delší dobu změnou nastavení diagnostiky v Microsoft Entra ID tak, aby odesílala riskyUsers, UserRiskEvents, RiskyServicePrincipals a ServicePrincipalRiskEvents do pracovního prostoru služby Log Analytics, archivují data do účtu úložiště, streamují data do centra událostí nebo odesílají data do partnerského řešení. Tyto možnosti najdete v centru>pro správu Microsoft Entra v nastavení Monitorování identit>a nastavení>diagnostiky stavu>Upravit. Pokud nastavení diagnostiky nemáte, postupujte podle pokynů v článku Vytvoření nastavení diagnostiky a odešlete protokoly platformy a metriky do různých cílů a vytvořte si je.
Log Analytics
Log Analytics umožňuje organizacím dotazovat se na data pomocí integrovaných dotazů nebo vlastních vytvořených dotazů Kusto. Další informace najdete v tématu Začínáme s dotazy na protokoly ve službě Azure Monitor.
Po povolení najdete přístup ke službě Log Analytics v Centru>pro správu Microsoft Entra Identity>Monitoring &health>Log Analytics. Správci microsoft Entra ID Protection mají největší zájem o následující tabulky:
- AADRiskyUsers – poskytuje data, jako je sestava Rizikových uživatelů .
- AADUserRiskEvents – poskytuje data, jako je sestava detekce rizik.
- RiskyServicePrincipals – poskytuje data, jako je sestava rizikových identit úloh.
- ServicePrincipalRiskEvents – poskytuje data, jako je sestava detekce identit úloh.
Poznámka
Log Analytics má přehled jenom o datech, když se streamují. Události před povolením odesílání událostí z ID Microsoft Entra se nezobrazují.
Ukázkové dotazy
Na předchozím obrázku se spustil následující dotaz, aby se zobrazilo posledních pět aktivovaných detekcí rizik.
AADUserRiskEvents
| take 5
Další možností je dotazovat se na tabulku AADRiskyUsers, abyste viděli všechny rizikové uživatele.
AADRiskyUsers
Podívejte se na počet vysoce rizikových uživatelů po dnech:
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
Podívejte se na užitečné podrobnosti šetření, jako je řetězec uživatelského agenta, pro zjištění, která jsou vysoce riziková a nejsou nápravná nebo zamítnutá:
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
Přístup k dalším dotazům a vizuálním přehledům založeným na protokolech AADUserRiskEvents a AADRisky Users v sešitu Zásad přístupu na základě rizik
Účet úložiště
Směrováním protokolů do účtu úložiště Azure ho můžete uchovávat déle, než je výchozí doba uchovávání. Další informace najdete v článku Kurz: Archivace protokolů Microsoft Entra do účtu úložiště Azure.
Azure Event Hubs
Azure Event Hubs se může podívat na příchozí data ze zdrojů, jako je Microsoft Entra ID Protection, a poskytnout analýzu a korelaci v reálném čase. Další informace najdete v článku Kurz: Streamování protokolů Microsoft Entra do centra událostí Azure.
Další možnosti
Organizace se můžou rozhodnout připojit data Microsoft Entra k Microsoft Sentinelu a také k dalšímu zpracování.
Organizace můžou pomocí rozhraní Microsoft Graph API programově pracovat s rizikovými událostmi.