Compartir vía


Procedimientos: Exportación de datos de riesgo

Microsoft Entra ID almacena informes y señales de seguridad durante un período de tiempo definido. Ese periodo puede no ser lo suficientemente prolongado en lo que se refiere a la información de riesgo.

Informe/señal Microsoft Entra ID Gratis Microsoft Entra ID P1 Microsoft Entra ID P2
Registros de auditoría 7 días 30 días 30 días
Inicios de sesión 7 días 30 días 30 días
Uso de la autenticación multifactor de Microsoft Entra 30 días 30 días 30 días
Inicios de sesión de riesgo 7 días 30 días 30 días

Las organizaciones pueden optar por almacenar datos durante períodos más largos. Para ello, modifican la configuración de diagnóstico de Microsoft Entra ID a fin de enviar datos de RiskyUsers, UserRiskEvents, RiskyServicePrincipals y ServicePrincipalRiskEvents a un área de trabajo de Log Analytics, archivar datos en una cuenta de almacenamiento, transmitir datos a un centro de eventos o enviar datos a una solución de asociado. Busque estas opciones en el Centro de administración Microsoft Entra>Identidad>Supervisión y estado>Configuración de diagnóstico>Editar configuración. Si no tiene una configuración de diagnóstico, siga las instrucciones que aparecen en el artículo Creación de una configuración de diagnóstico para enviar los registros y las métricas de la plataforma a diferentes destinos para crear una.

Pantalla de configuración de diagnóstico en Microsoft Entra ID que muestra la configuración existente

Log Analytics

Log Analytics permite que las organizaciones consulten datos mediante consultas integradas o consultas de Kusto personalizadas creadas. Para más información, consulte Introducción a las consultas de registro en Azure Monitor.

Una vez habilitado, encontrará acceso a Log Analytics en el Centro de administración Microsoft Entra>Identidad>Supervisión y estado>Log Analytics. Las tablas siguientes son de mayor interés para los administradores de Protección de id. de Microsoft Entra:

  • AADRiskyUsers: proporciona datos como el informe Usuarios de riesgo.
  • AADUserRiskEvents: proporciona datos como el informe Detecciones de riesgo.
  • RiskyServicePrincipals: proporciona datos como el informe Identidades de carga de trabajo de riesgo.
  • ServicePrincipalRiskEvents: proporciona datos como el informe Detecciones de identidad de carga de trabajo.

Nota

Log Analytics solo tiene visibilidad de los datos a medida que se transmiten. No se muestran los eventos que se producen antes de habilitar el envío de eventos desde Microsoft Entra ID.

Consultas de ejemplo

Vista de Log Analytics que muestra una consulta en la tabla AADUserRiskEvents en la que se muestran los 5 eventos principales

En la imagen anterior, se ejecutó la consulta siguiente a fin de mostrar las cinco detecciones de riesgo desencadenadas más recientes.

AADUserRiskEvents
| take 5

Otra opción es consultar la tabla AADRiskyUsers para ver todos los usuarios de riesgo.

AADRiskyUsers

Vea el recuento de usuarios de alto riesgo por día:

AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)

Vea detalles útiles de la investigación, como la cadena del agente de usuario, para las detecciones que son de alto riesgo y no se corrigen o descartan:

AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId

Obtenga acceso a más consultas e información visual basada en los registros de usuarios de AADUserRiskEvents y AADRisky en el libro Análisis de impacto de las directivas de acceso basadas en riesgos.

Cuenta de almacenamiento

Si se enrutan los registros a una cuenta de almacenamiento de Azure, se pueden conservar durante más tiempo que el período de retención predeterminado. Para más información, consulte el artículo Tutorial: Archivar registros de Microsoft Entra en una cuenta de almacenamiento de Azure.

Azure Event Hubs

Azure Event Hubs puede examinar los datos entrantes provenientes de orígenes como Protección de id. de Microsoft Entra y proporcionar análisis y correlación en tiempo real. Para más información, consulte el artículo Tutorial: Transmisión de registros de Microsoft Entra a un centro de eventos de Azure.

Otras opciones

Las organizaciones pueden optar por conectar datos de Microsoft Entra a Microsoft Sentinel también para un procesamiento adicional.

Las organizaciones pueden usar Microsoft Graph API para interactuar con los eventos de riesgo mediante programación.

Pasos siguientes