Comment : exporter les données liées aux risques
Microsoft Entra ID stocke les rapports et les signaux de sécurité pendant un laps de temps défini. Lorsqu’il s’agit d’informations sur les risques, ce laps de temps pourrait ne pas suffire.
| Rapport/Signal | Microsoft Entra ID Gratuit | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| Journaux d’audit | 7 jours | 30 jours | 30 jours |
| Connexions | 7 jours | 30 jours | 30 jours |
| Utilisation de l’authentification multifacteur Microsoft Entra | 30 jours | 30 jours | 30 jours |
| Connexions risquées | 7 jours | 30 jours | 30 jours |
Les organisations peuvent choisir de stocker des données pour des périodes plus longues en modifiant les paramètres de diagnostic dans Microsoft Entra ID, de manière à envoyer les données RiskyUsers, UserRiskEvents, RiskyServicePrincipals et ServicePrincipalRiskEvents à un espace de travail Log Analytics, archiver des données dans un compte de stockage, diffuser les données en continu vers un hub d’événements ou envoyer des données à une solution partenaire. Trouvez ces options dans Centre d’administration Microsoft Entra>Identité>Surveillance et intégrité>Paramètres de diagnostic>Modifier les paramètres. Si vous n’avez pas de paramètre de diagnostic, suivez les instructions de l’article Créer des paramètres de diagnostic pour envoyer des journaux et des métriques de plateforme à différentes destinations pour en créer un.
Log Analytics
Log Analytics permet aux organisations d’interroger des données à l’aide de requêtes intégrées ou de requêtes Kusto personnalisées. Pour plus d’informations, consultez Bien démarrer avec les requêtes de journal dans Azure Monitor.
Une fois activé, vous trouverez l’accès à Log Analytics dans le Centre d’administration Microsoft Entra>Identité>Surveillance et intégrité >Log Analytics. Les tableaux suivants sont particulièrement intéressants pour les administrateurs de Protection des ID Microsoft Entra :
- AADRiskyUsers : fournit des données comme le rapport sur les utilisateurs à risque.
- AADUserRiskEvents : fournit des données comme le rapport sur les Détections de risques.
- RiskyServicePrincipals : fournit des données comme le rapport sur les Identités de charge de travail risquées.
- ServicePrincipalRiskEvents : fournit des données comme le rapport sur les Détections d’identité de charge de travail.
Remarque
Log Analytics n’a une visibilité sur les données que lorsque celles-ci sont diffusées en continu. Les événements antérieurs à l’activation de l’envoi d’événements à partir de Microsoft Entra ID n’apparaissent pas.
Exemples de requêtes
Dans l’image précédente, la requête suivante a été exécutée pour montrer les cinq détections de risques les plus récentes.
AADUserRiskEvents
| take 5
Une autre option consiste à interroger la table AADRiskyUsers pour voir tous les utilisateurs à risque.
AADRiskyUsers
Visualiser le nombre d’utilisateurs à haut risque par jour :
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
Affichez les détails d’examen utiles, comme la chaîne de l’agent utilisateur, pour les détections présentant un risque élevé et qui ne sont pas corrigées ou ignorées :
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
Accédez à d’autres requêtes et insights visuels basés sur AADUserRiskEvents et les journaux utilisateurs AADRisky dans l’Analyse d’impact du classeur des stratégies d’accès basées sur les risques.
Compte de stockage
Si vous routez les journaux vers un compte de stockage Azure, vous pouvez les conserver plus longtemps que la période de rétention par défaut. Pour plus d’informations, consultez l’article Tutoriel : Archiver des journaux Microsoft Entra sur un compte de stockage Azure.
Azure Event Hubs
Azure Event Hubs peut examiner les données entrantes provenant de sources comme Protection des ID Microsoft Entra, et fournir une analyse et une corrélation en temps réel. Pour plus d’informations, consultez cet article Didacticiel : diffuser les journaux d’activité Microsoft Entra vers un Azure Event Hub.
Autres options
Les organisations peuvent également choisir de connecter les données Microsoft Entra à Microsoft Sentinel pour un traitement approfondi.
Les organisations peuvent utiliser l’API Microsoft Graph pour interagir par programme avec les événements à risque.
Étapes suivantes
- Qu’est-ce que la surveillance Microsoft Entra ?
- Installer et utiliser les affichages de l’analytique des journaux d’activité pour Microsoft Entra ID
- Connecter des données à partir de Protection des ID Microsoft Entra
- Protection des ID Microsoft Entra et le Kit de développement logiciel Microsoft Graph PowerShell
- Didacticiel : Diffuser les journaux Microsoft Entra vers un hub d’événements Azure