Bagaimana cara: Mengekspor data berisiko
ID Microsoft Entra menyimpan laporan dan sinyal keamanan untuk jangka waktu yang ditentukan. Ketika datang ke informasi risiko periode itu mungkin tidak cukup lama.
| Laporan / Sinyal | Microsoft Entra ID Gratis | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| Log audit | 7 hari | 30 hari | 30 hari |
| Rincian masuk | 7 hari | 30 hari | 30 hari |
| Penggunaan autentikasi multifaktor Microsoft Entra | 30 hari | 30 hari | 30 hari |
| Proses masuk riskan | 7 hari | 30 hari | 30 hari |
Organisasi dapat memilih untuk menyimpan data untuk jangka waktu yang lebih lama dengan mengubah pengaturan diagnostik di ID Microsoft Entra untuk mengirim RiskyUsers, UserRiskEvents, RiskyServicePrincipals, dan data ServicePrincipalRiskEvents ke ruang kerja Log Analytics , mengarsipkan data ke akun penyimpanan, mengalirkan data ke pusat aktivitas, atau mengirim data ke solusi mitra. Temukan opsi ini di pengaturan Edit Pengaturan Edit Pemantauan Identitas>&>pengaturan>Diagnostik pusat>admin Microsoft Entra. Jika Anda tidak memiliki setelan diagnostik, ikuti instruksi di artikel Buat setelan diagnostik untuk mengirim log platform dan metrik ke tujuan yang berbeda untuk membuatnya.
Log Analytics
Log Analytics memungkinkan organisasi untuk membuat kueri data menggunakan kueri bawaan atau kueri Kusto yang dibuat kustom, untuk informasi selengkapnya, lihat Memulai kueri log di Azure Monitor.
Setelah diaktifkan, Anda menemukan akses ke Analitik Log di Pusat>admin Microsoft Entra Pemantauan Identitas>& Analitik Log kesehatan.> Tabel berikut paling menarik bagi administrator Perlindungan Identitas:
- AADRiskyUsers - Menyediakan data seperti laporan Pengguna berisiko di Identity Protection.
- AADUserRiskEvents - Menyediakan data seperti laporan Deteksi risiko di Identity Protection.
- RiskyServicePrincipals - Menyediakan data seperti laporan Identitas beban kerja berisiko dalam Perlindungan Identitas.
- ServicePrincipalRiskEvents - Menyediakan data seperti laporan Deteksi identitas beban kerja dalam Perlindungan Identitas.
Catatan
Analitik Log hanya memiliki visibilitas ke dalam data saat dialirkan. Peristiwa sebelum mengaktifkan pengiriman peristiwa dari ID Microsoft Entra tidak muncul.
Contoh kueri
Pada gambar sebelumnya, kueri berikut dijalankan untuk memperlihatkan lima deteksi risiko terbaru yang dipicu.
AADUserRiskEvents
| take 5
Pilihan lain adalah meminta tabel AADRiskyUsers untuk melihat semua pengguna berisiko.
AADRiskyUsers
Lihat jumlah pengguna berisiko tinggi menurut hari:
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
Lihat detail investigasi yang bermanfaat, seperti string agen pengguna, untuk deteksi yang berisiko tinggi dan tidak diremediasi atau diberhentikan:
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
Akses lebih banyak kueri dan wawasan visual berdasarkan log AADUserRiskEvents dan Pengguna AADRisky di buku kerja Analisis dampak kebijakan akses berbasis risiko.
Akun Penyimpanan
Dengan merutekan log ke akun penyimpanan Azure, Anda dapat menyimpannya lebih lama dari periode penyimpanan default. Untuk informasi selengkapnya, lihat artikel Tutorial: Mengarsipkan log Microsoft Entra ke akun penyimpanan Azure.
Azure Event Hubs
Azure Event Hubs dapat melihat data masuk dari sumber seperti Microsoft Entra ID Protection dan menyediakan analisis dan korelasi real time. Untuk informasi selengkapnya, lihat artikel Tutorial: Mengalirkan log Microsoft Entra ke hub peristiwa Azure.
Opsi lain
Organisasi dapat memilih untuk menyambungkan data Microsoft Entra ke Microsoft Azure Sentinel juga untuk pemrosesan lebih lanjut.
Organisasi dapat menggunakan Microsoft Graph API untuk berinteraksi secara terprogram dengan peristiwa risiko.