Comment : Exporter les données liées aux risques

  • Article

Microsoft Entra ID stocke les rapports et les signaux de sécurité pendant un laps de temps défini. Lorsqu’il s’agit d’informations sur les risques, ce laps de temps peut ne pas suffire.

Rapport/Signal Microsoft Entra ID Gratuit Microsoft Entra ID P1 Microsoft Entra ID P2
Journaux d’audit 7 jours 30 jours 30 jours
Connexions 7 jours 30 jours 30 jours
Utilisation de l’authentification multifacteur Microsoft Entra 30 jours 30 jours 30 jours
Connexions risquées 7 jours 30 jours 30 jours

Les organisations peuvent choisir de stocker des données pour des périodes plus longues en modifiant les paramètres de diagnostic dans Microsoft Entra ID, de manière à envoyer les données RiskyUsers, UserRiskEvents, RiskyServicePrincipals et ServicePrincipalRiskEvents à un espace de travail Log Analytics, archiver des données dans un compte de stockage, envoyer en streaming des données vers un hub d’événements ou envoyer des données à une solution partenaire. Trouvez ces options dans Centre d’administration Microsoft Entra>Identité>Surveillance et intégrité>Paramètres de diagnostic>Modifier les paramètres. Si vous n’avez pas de paramètre de diagnostic, suivez les instructions de l’article Créer des paramètres de diagnostic pour envoyer des journaux et des métriques de plateforme à différentes destinations pour en créer un.

Diagnostic settings screen in Microsoft Entra ID showing existing configuration

Log Analytics

Log Analytics permet aux organisations d’interroger des données à l’aide de requêtes intégrées ou de requêtes Kusto personnalisées. Pour plus d’informations, consultez Bien démarrer avec les requêtes de journal dans Azure Monitor.

Une fois activé, vous trouverez l’accès à Log Analytics dans Centre d’administration Microsoft Entra>Identité>Surveillance et intégrité>Log Analytics. Les tableaux suivants sont particulièrement intéressants pour les administrateurs Identity Protection :

  • AADRiskyUsers : fournit des données comme le rapport Utilisateurs à risquedans Identity Protection.
  • AADUserRiskEvents : fournit des données comme le rapport Détections de risque dans Identity Protection.
  • RiskyServicePrincipals : fournit des données telles que le rapport Identités de charge de travail risquées dans Identity Protection.
  • ServicePrincipalRiskEvents : fournit des données comme le rapport sur les détections d’identité de charge de travail dans Identity Protection.

Log Analytics view showing a query against the AADUserRiskEvents table showing the top 5 events

Dans l’image précédente, la requête suivante a été exécutée pour montrer les cinq détections de risques les plus récentes.

AADUserRiskEvents
| take 5

Une autre option consiste à interroger la table AADRiskyUsers pour voir tous les utilisateurs à risque.

AADRiskyUsers

Notes

Log Analytics n’a une visibilité sur les données que lorsque celles-ci sont envoyées en streaming. Les événements antérieurs à l’activation de l’envoi d’événements à partir de Microsoft Entra ID n’apparaissent pas.

Storage account

Si vous routez les journaux vers un compte de stockage Azure, vous pouvez les conserver plus longtemps que la période de conservation par défaut. Pour plus d’informations, consultez l’article Tutoriel : Archiver des journaux Microsoft Entra sur un compte de stockage Azure.

Azure Event Hubs

Azure Event Hubs peut examiner les données entrantes provenant de sources comme Protection des ID Microsoft Entra, et fournir une analyse et une corrélation en temps réel. Pour plus d’informations, consultez l’article Tutoriel : Diffuser les journaux d’activité Microsoft Entra vers un Event Hub Azure

Autres options

Les organisations peuvent également choisir de connecter les données Microsoft Entra à Microsoft Sentinel pour un traitement approfondi.

Les organisations peuvent utiliser l’API Microsoft Graph pour interagir par programme avec les événements à risque.

Étapes suivantes