Útmutató – Kockázati adatok exportálása

  • Cikk

A Microsoft Entra ID meghatározott ideig tárolja a jelentéseket és a biztonsági jelzéseket. Ha kockázati információkról van szó, előfordulhat, hogy az időszak nem elég hosszú.

Jelentés / Jel Microsoft Entra ID Ingyenes Microsoft Entra ID P1 Microsoft Entra ID P2
Naplók 7 nap 30 nap 30 nap
Bejelentkezések 7 nap 30 nap 30 nap
Microsoft Entra többfaktoros hitelesítés használata 30 nap 30 nap 30 nap
Kockázatos bejelentkezések 7 nap 30 nap 30 nap

A szervezetek dönthetnek úgy, hogy hosszabb ideig tárolják az adatokat, ha módosítják a Diagnosztikai beállításokat a Microsoft Entra-azonosítóban, hogy a RiskyUsers, a UserRiskEvents, a RiskyServicePrincipals és a ServicePrincipalRiskEvents adatokat küldjenek egy Log Analytics-munkaterületre, archiválják az adatokat egy tárfiókba, adatokat streameljenek egy eseményközpontba, vagy adatokat küldjenek egy partnermegoldásnak. Ezeket a beállításokat a Microsoft Entra Felügyeleti központ>Identitásfigyelés>és állapot>diagnosztikai beállításai>szerkesztési beállításában találja. Ha nem rendelkezik diagnosztikai beállítással, kövesse a Diagnosztikai beállítások létrehozása című cikkben található utasításokat, hogy platformnaplókat és metrikákat küldjön különböző helyekre , hogy létrehozhasson egyet.

Diagnosztikai beállítások képernyő a Microsoft Entra ID-ban a meglévő konfiguráció megjelenítéséhez

Log Analytics

A Log Analytics lehetővé teszi, hogy a szervezetek beépített lekérdezésekkel vagy egyénileg létrehozott Kusto-lekérdezésekkel kérdezhessenek le adatokat. További információt a napló lekérdezéseinek első lépései az Azure Monitorban című témakörben talál.

Ha engedélyezte, a Log Analyticshez való hozzáférést a Microsoft Entra Felügyeleti központ>Identity>Monitoring & Health>Log Analytics szolgáltatásában találja. Az identity Protection-rendszergazdák számára az alábbi táblák a legfontosabbak:

  • AADRiskyUsers – Olyan adatokat biztosít, mint a Kockázatos felhasználók jelentés az Identity Protectionben.
  • AADUserRiskEvents – Olyan adatokat biztosít, mint a Kockázatészlelési jelentés az Identity Protectionben.
  • RiskyServicePrincipals – Olyan adatokat biztosít, mint a Kockázatos számítási feladatok identitásai jelentés az Identity Protectionben.
  • ServicePrincipalRiskEvents – Olyan adatokat biztosít, mint a számítási feladatok identitásészlelési jelentése az Identity Protectionben.

Feljegyzés

A Log Analytics csak adatfolyamként tekinti át az adatokat. Az események Microsoft Entra-azonosítóból való küldésének engedélyezését megelőző események nem jelennek meg.

Minta lekérdezések

Log Analytics-nézet, amely az AADUserRiskEvents tábla lekérdezését jeleníti meg az első 5 eseményt ábrázolva

Az előző képen a következő lekérdezést futtatták a legutóbbi öt aktivált kockázatészlelés megjelenítéséhez.

AADUserRiskEvents
| take 5

Egy másik lehetőség az AADRiskyUsers tábla lekérdezése az összes kockázatos felhasználó megtekintéséhez.

AADRiskyUsers

A magas kockázatú felhasználók számának megtekintése naponta:

AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)

A magas kockázatú és nem szervizelt vagy elutasított észlelésekhez tekintse meg a hasznos vizsgálati adatokat, például a felhasználói ügynök sztringét:

AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId

További lekérdezések és vizuális elemzések elérése az AADUserRiskEvents és az AADRisky Felhasználók naplói alapján a kockázatalapú hozzáférési szabályzatok munkafüzetének hatáselemzésében.

Tárfiók

Ha naplókat irányít egy Azure Storage-fiókhoz, az alapértelmezett megőrzési időszaknál hosszabb ideig is megtarthatja. További információ: Oktatóanyag: Microsoft Entra-naplók archiválása Azure-tárfiókba.

Azure-eseményközpontok

Az Azure Event Hubs megtekintheti az olyan forrásokból származó bejövő adatokat, mint a Microsoft Entra ID-védelem, és valós idejű elemzést és korrelációt biztosít. További információ: Oktatóanyag: Microsoft Entra-naplók streamelése egy Azure-eseményközpontba.

Egyéb lehetőségek

A szervezetek dönthetnek úgy, hogy a Microsoft Entra-adatokat a Microsoft Sentinelhez csatlakoztatják, illetve további feldolgozás céljából.

A szervezetek a Microsoft Graph API használatával programozott módon kezelhetik a kockázati eseményeket.

Következő lépések