方法: リスク データをエクスポートする

Microsoft Entra ID により、定義された期間にわたるレポートとセキュリティ シグナルが格納されます。 リスク情報に関しては、この期間が十分ではない可能性があります。

レポート/シグナル Microsoft Entra ID Free Microsoft Entra ID P1 Microsoft Entra ID P2
監査ログ 7 日 30 日 30 日
サインイン 7 日 30 日 30 日
Microsoft Entra 多要素認証の使用 30 日 30 日 30 日
リスクの高いサインイン 7 日 30 日 30 日

組織では、Microsoft Entra ID 内の診断設定を変更して、RiskyUsersUserRiskEventsRiskyServicePrincipals、およびServicePrincipalRiskEvents のデータを Log Analytics ワークスペースに送信すること、データをストレージ アカウントにアーカイブすること、データをイベント ハブにストリーミングすること、またはデータをパートナー ソリューションに送信することにより、データの保存期間を長くすることができます。 これらのオプションは、Microsoft Entra管理センター>[ID]>監視と正常性>診断設定>編集設定にあります。 診断設定がない場合は、「プラットフォーム ログとメトリックを異なる宛先に送信するための診断設定を作成する」の記事に記載されている手順に従って作成します。

Diagnostic settings screen in Microsoft Entra ID showing existing configuration

Log Analytics

Log Analytics を使用すると、組織では組み込みクエリまたはカスタムで作成された Kusto クエリを使用してデータを照会できます。詳細については、「Azure Monitor でログ クエリの使用を開始する」を参照してください。

有効にすると、Log Analytics へのアクセスは、Microsoft Entra 管理センター>[ID]>監視と正常性>Log Analyticsにあります。 次の表は、Identity Protection の管理者を対象としています。

  • AADRiskyUsers - Identity Protection の危険なユーザー レポートのようなデータを提供します。
  • AADUserRiskEvents - Identity Protection のリスク検出レポートのようなデータを提供します。
  • RiskyServicePrincipals - Identity Protection の危険なワークロード ID レポートのようなデータを提供します。
  • ServicePrincipalRiskEvents - Identity Protection のワークロード ID の検出レポートのようなデータを提供します。

Log Analytics view showing a query against the AADUserRiskEvents table showing the top 5 events

上の図では、トリガーされた最新の 5 つのリスク検出が示されるように次のクエリが実行されています。

AADUserRiskEvents
| take 5

もう 1 つのオプションは、AADRiskyUsers テーブルに対してクエリを実行して、危険なユーザーをすべて表示する方法です。

AADRiskyUsers

注意

Log Analytics では、ストリーミング中のデータのみが可視化されます。 Microsoft Entra ID からのイベントの送信を有効にする前のイベントは表示されません。

ストレージ アカウント

ログを Azure ストレージ アカウントにルーティングすると既定の保持期間より長く保持できます。 詳細については、Microsoft Entra ログを Azure ストレージ アカウントにアーカイブする方法のチュートリアルに関する記事を参照してください。

Azure Event Hubs

Azure Event Hubs では、Microsoft Entra ID Protection のようなソースからの受信データを参照し、リアルタイムの分析と相関関係を提供できます。 詳細については、Azure イベント ハブに Microsoft Entra ログをストリーム配信する方法のチュートリアルに関する記事を参照してください。

その他のオプション

組織では、さらに処理するために Microsoft Entra データを Microsoft Sentinel に接続することも選択できます。

組織では、Microsoft Graph API を使用して、リスク イベントをプログラムで操作できます。

次のステップ