Procedura: Esportare i dati sui rischi
Microsoft Entra ID archivia report e segnali di sicurezza per un periodo di tempo definito. Quando si tratta di informazioni sul rischio che il periodo potrebbe non essere abbastanza lungo.
| Report/Segnale | Microsoft Entra ID gratis | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| Log di controllo | 7 giorni | 30 giorni | 30 giorni |
| Accessi | 7 giorni | 30 giorni | 30 giorni |
| Utilizzo dell'autenticazione a più fattori di Microsoft Entra | 30 giorni | 30 giorni | 30 giorni |
| Accessi a rischio | 7 giorni | 30 giorni | 30 giorni |
Le organizzazioni possono scegliere di archiviare i dati per periodi più lunghi modificando le impostazioni di diagnostica in Microsoft Entra ID per inviare riskyUsers, UserRiskEvents, RiskyServicePrincipals e ServicePrincipalRiskEvents a un'area di lavoro Log Analytics, archiviare i dati in un account di archiviazione, trasmettere dati a un hub eventi o inviare dati a una soluzione partner. Trovare queste opzioni nell'interfaccia di amministrazione>di Microsoft Entra Monitoraggio identità>e impostazioni>di diagnostica di integrità>Impostazione modifica. Se non si ha un'impostazione di diagnostica, seguire le istruzioni riportate nell'articolo Creare impostazioni di diagnostica per inviare log e metriche della piattaforma a destinazioni diverse per crearne una.
Log Analytics
Log Analytics consente alle organizzazioni di eseguire query sui dati usando query predefinite o query Kusto create personalizzate. Per altre informazioni, vedere Introduzione alle query di log in Monitoraggio di Azure.
Dopo aver abilitato l'accesso a Log Analytics nell'interfaccia >di amministrazione di Microsoft Entra Monitoraggio delle identità>e integrità>Log Analytics. Le tabelle seguenti sono particolarmente interessanti per gli amministratori di Identity Protection:
- AADRiskyUsers: fornisce dati come il report Utenti rischiosi in Identity Protection.
- AADUserRiskEvents: fornisce dati come il report Rilevamenti dei rischi in Identity Protection.
- RiskyServicePrincipals: fornisce dati come il report Identità del carico di lavoro rischioso in Identity Protection.
- ServicePrincipalRiskEvents: fornisce dati come il report Rilevamenti delle identità del carico di lavoro in Identity Protection.
Nota
Log Analytics ha visibilità solo nei dati durante lo streaming. Gli eventi prima di abilitare l'invio di eventi da Microsoft Entra ID non vengono visualizzati.
Query di esempio
Nell'immagine precedente è stata eseguita la query seguente per visualizzare i cinque rilevamenti di rischio più recenti attivati.
AADUserRiskEvents
| take 5
Un'altra opzione consiste nel eseguire una query sulla tabella AADRiskyUsers per visualizzare tutti gli utenti a rischio.
AADRiskyUsers
Visualizzare il numero di utenti ad alto rischio per giorno:
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
Visualizzare i dettagli utili dell'indagine, ad esempio la stringa dell'agente utente, per i rilevamenti ad alto rischio e non vengono corretti o ignorati:
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
Accedere a più query e informazioni visive basate sui log AADUserRiskEvents e AADRisky Users nella cartella di lavoro Analisi dell'impatto dei criteri di accesso basati sui rischi.
Account di archiviazione
Instradando i log a un account di archiviazione di Azure, è possibile mantenerlo per più tempo rispetto al periodo di conservazione predefinito. Per altre informazioni, vedere l'articolo Esercitazione: Archiviare i log di Microsoft Entra in un account di archiviazione di Azure.
Hub eventi di Azure
Hub eventi di Azure può esaminare i dati in ingresso da origini come Microsoft Entra ID Protection e fornire analisi e correlazione in tempo reale. Per altre informazioni, vedere l'articolo Esercitazione: Trasmettere i log di Microsoft Entra a un hub eventi di Azure.
Altre opzioni
Le organizzazioni possono scegliere di connettere i dati di Microsoft Entra a Microsoft Sentinel e per ulteriori elaborazioni.
Le organizzazioni possono usare l'API Microsoft Graph per interagire a livello di codice con gli eventi di rischio.
Passaggi successivi
- Che cos'è il monitoraggio di Microsoft Entra?
- Installare e usare le visualizzazioni di Log Analytics per Microsoft Entra ID
- Connessione dati di Microsoft Entra ID Protection
- Microsoft Entra ID Protection e Microsoft Graph PowerShell SDK
- Esercitazione: Trasmettere i log di Microsoft Entra a un hub eventi di Azure