Procedimientos: Exportación de datos de riesgo
Microsoft Entra ID almacena informes y señales de seguridad durante un período de tiempo definido. Ese periodo puede no ser lo suficientemente prolongado en lo que se refiere a la información de riesgo.
| Informe/señal | Microsoft Entra ID Gratis | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| Registros de auditoría | 7 días | 30 días | 30 días |
| Inicios de sesión | 7 días | 30 días | 30 días |
| Uso de la autenticación multifactor de Microsoft Entra | 30 días | 30 días | 30 días |
| Inicios de sesión de riesgo | 7 días | 30 días | 30 días |
Las organizaciones pueden optar por almacenar datos durante períodos más largos. Para ello, modifican la configuración de diagnóstico de Microsoft Entra ID a fin de enviar datos de RiskyUsers, UserRiskEvents, RiskyServicePrincipals y ServicePrincipalRiskEvents a un área de trabajo de Log Analytics, archivar datos en una cuenta de almacenamiento, transmitir datos a un centro de eventos o enviar datos a una solución de asociado. Busque estas opciones en el Centro de administración Microsoft Entra>Identidad>Supervisión y estado>Configuración de diagnóstico>Editar configuración. Si no tiene una configuración de diagnóstico, siga las instrucciones que aparecen en el artículo Creación de una configuración de diagnóstico para enviar los registros y las métricas de la plataforma a diferentes destinos para crear una.
Log Analytics
Log Analytics permite que las organizaciones consulten datos mediante consultas integradas o consultas de Kusto personalizadas creadas. Para más información, consulte Introducción a las consultas de registro en Azure Monitor.
Una vez habilitado, encontrará acceso a Log Analytics en el Centro de administración Microsoft Entra>Identidad>Supervisión y estado>Log Analytics. Las tablas siguientes son de mayor interés para los administradores de Protección de id. de Microsoft Entra:
- AADRiskyUsers: proporciona datos como el informe Usuarios de riesgo.
- AADUserRiskEvents: proporciona datos como el informe Detecciones de riesgo.
- RiskyServicePrincipals: proporciona datos como el informe Identidades de carga de trabajo de riesgo.
- ServicePrincipalRiskEvents: proporciona datos como el informe Detecciones de identidad de carga de trabajo.
Nota
Log Analytics solo tiene visibilidad de los datos a medida que se transmiten. No se muestran los eventos que se producen antes de habilitar el envío de eventos desde Microsoft Entra ID.
Consultas de ejemplo
En la imagen anterior, se ejecutó la consulta siguiente a fin de mostrar las cinco detecciones de riesgo desencadenadas más recientes.
AADUserRiskEvents
| take 5
Otra opción es consultar la tabla AADRiskyUsers para ver todos los usuarios de riesgo.
AADRiskyUsers
Vea el recuento de usuarios de alto riesgo por día:
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
Vea detalles útiles de la investigación, como la cadena del agente de usuario, para las detecciones que son de alto riesgo y no se corrigen o descartan:
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
Obtenga acceso a más consultas e información visual basada en los registros de usuarios de AADUserRiskEvents y AADRisky en el libro Análisis de impacto de las directivas de acceso basadas en riesgos.
Cuenta de almacenamiento
Si se enrutan los registros a una cuenta de almacenamiento de Azure, se pueden conservar durante más tiempo que el período de retención predeterminado. Para más información, consulte el artículo Tutorial: Archivar registros de Microsoft Entra en una cuenta de almacenamiento de Azure.
Azure Event Hubs
Azure Event Hubs puede examinar los datos entrantes provenientes de orígenes como Protección de id. de Microsoft Entra y proporcionar análisis y correlación en tiempo real. Para más información, consulte el artículo Tutorial: Transmisión de registros de Microsoft Entra a un centro de eventos de Azure.
Otras opciones
Las organizaciones pueden optar por conectar datos de Microsoft Entra a Microsoft Sentinel también para un procesamiento adicional.
Las organizaciones pueden usar Microsoft Graph API para interactuar con los eventos de riesgo mediante programación.
Pasos siguientes
- ¿Qué es la supervisión de Microsoft Entra?
- Instalación y uso de las vistas de análisis de registros para Microsoft Entra ID
- Conexión de datos desde Protección de id. de Microsoft Entra
- Protección de id. de Microsoft Entra y el SDK de PowerShell de Microsoft Graph
- Tutorial: Transmisión de registros de Microsoft Entra a un centro de eventos de Azure