Útmutató – Kockázati adatok exportálása
A Microsoft Entra ID meghatározott ideig tárolja a jelentéseket és a biztonsági jelzéseket. Ha kockázati információkról van szó, előfordulhat, hogy az időszak nem elég hosszú.
Jelentés / Jel | Microsoft Entra ID Ingyenes | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
---|---|---|---|
Naplók | 7 nap | 30 nap | 30 nap |
Bejelentkezések | 7 nap | 30 nap | 30 nap |
Microsoft Entra többfaktoros hitelesítés használata | 30 nap | 30 nap | 30 nap |
Kockázatos bejelentkezések | 7 nap | 30 nap | 30 nap |
A szervezetek dönthetnek úgy, hogy hosszabb ideig tárolják az adatokat, ha módosítják a Diagnosztikai beállításokat a Microsoft Entra-azonosítóban, hogy a RiskyUsers, a UserRiskEvents, a RiskyServicePrincipals és a ServicePrincipalRiskEvents adatokat küldjenek egy Log Analytics-munkaterületre, archiválják az adatokat egy tárfiókba, adatokat streameljenek egy eseményközpontba, vagy adatokat küldjenek egy partnermegoldásnak. Ezeket a beállításokat a Microsoft Entra Felügyeleti központ>Identitásfigyelés>és állapot>diagnosztikai beállításai>szerkesztési beállításában találja. Ha nem rendelkezik diagnosztikai beállítással, kövesse a Diagnosztikai beállítások létrehozása című cikkben található utasításokat, hogy platformnaplókat és metrikákat küldjön különböző helyekre , hogy létrehozhasson egyet.
Log Analytics
A Log Analytics lehetővé teszi, hogy a szervezetek beépített lekérdezésekkel vagy egyénileg létrehozott Kusto-lekérdezésekkel kérdezhessenek le adatokat. További információt a napló lekérdezéseinek első lépései az Azure Monitorban című témakörben talál.
Ha engedélyezte, a Log Analyticshez való hozzáférést a Microsoft Entra Felügyeleti központ>Identity>Monitoring & Health>Log Analytics szolgáltatásában találja. Az identity Protection-rendszergazdák számára az alábbi táblák a legfontosabbak:
- AADRiskyUsers – Olyan adatokat biztosít, mint a Kockázatos felhasználók jelentés az Identity Protectionben.
- AADUserRiskEvents – Olyan adatokat biztosít, mint a Kockázatészlelési jelentés az Identity Protectionben.
- RiskyServicePrincipals – Olyan adatokat biztosít, mint a Kockázatos számítási feladatok identitásai jelentés az Identity Protectionben.
- ServicePrincipalRiskEvents – Olyan adatokat biztosít, mint a számítási feladatok identitásészlelési jelentése az Identity Protectionben.
Feljegyzés
A Log Analytics csak adatfolyamként tekinti át az adatokat. Az események Microsoft Entra-azonosítóból való küldésének engedélyezését megelőző események nem jelennek meg.
Minta lekérdezések
Az előző képen a következő lekérdezést futtatták a legutóbbi öt aktivált kockázatészlelés megjelenítéséhez.
AADUserRiskEvents
| take 5
Egy másik lehetőség az AADRiskyUsers tábla lekérdezése az összes kockázatos felhasználó megtekintéséhez.
AADRiskyUsers
A magas kockázatú felhasználók számának megtekintése naponta:
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
A magas kockázatú és nem szervizelt vagy elutasított észlelésekhez tekintse meg a hasznos vizsgálati adatokat, például a felhasználói ügynök sztringét:
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
További lekérdezések és vizuális elemzések elérése az AADUserRiskEvents és az AADRisky Felhasználók naplói alapján a kockázatalapú hozzáférési szabályzatok munkafüzetének hatáselemzésében.
Tárfiók
Ha naplókat irányít egy Azure Storage-fiókhoz, az alapértelmezett megőrzési időszaknál hosszabb ideig is megtarthatja. További információ: Oktatóanyag: Microsoft Entra-naplók archiválása Azure-tárfiókba.
Azure-eseményközpontok
Az Azure Event Hubs megtekintheti az olyan forrásokból származó bejövő adatokat, mint a Microsoft Entra ID-védelem, és valós idejű elemzést és korrelációt biztosít. További információ: Oktatóanyag: Microsoft Entra-naplók streamelése egy Azure-eseményközpontba.
Egyéb lehetőségek
A szervezetek dönthetnek úgy, hogy a Microsoft Entra-adatokat a Microsoft Sentinelhez csatlakoztatják, illetve további feldolgozás céljából.
A szervezetek a Microsoft Graph API használatával programozott módon kezelhetik a kockázati eseményeket.