方法: リスク データをエクスポートする
Azure AD により、定義された期間にわたるレポートとセキュリティ シグナルが格納されます。 リスク情報に関しては、この期間が十分ではない可能性があります。
| レポート/シグナル | Azure AD Free | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|
| 監査ログ | 7 日 | 30 日 | 30 日 |
| サインイン | 7 日 | 30 日 | 30 日 |
| Azure AD MFA の使用状況 | 30 日 | 30 日 | 30 日 |
| リスクの高いサインイン | 7 日 | 30 日 | 30 日 |
組織では、Azure AD 内の診断設定を変更して、RiskyUsers、UserRiskEvents、RiskyServicePrincipals、およびServicePrincipalRiskEvents のデータを Log Analytics ワークスペースに送信すること、データをストレージ アカウントにアーカイブすること、データをイベント ハブにストリーミングすること、またはデータをパートナー ソリューションに送信することにより、データの保存期間を長くすることができます。 これらのオプションは、Azure portal>[Azure Active Directory] 、 [診断設定]>[設定の編集] にあります。 診断設定がない場合は、「プラットフォーム ログとメトリックを異なる宛先に送信するための診断設定を作成する」の記事に記載されている手順に従って作成します。
Log Analytics
Log Analytics を使用すると、組織では組み込みクエリまたはカスタムで作成された Kusto クエリを使用してデータを照会できます。詳細については、「Azure Monitor でログ クエリの使用を開始する」を参照してください。
有効にすると、Log Analytics へのアクセスが [Azure portal]>[Azure AD]>[Log Analytics] に表示されます。 次の表は、Identity Protection の管理者を対象としています。
- AADRiskyUsers - Identity Protection の危険なユーザー レポートのようなデータを提供します。
- AADUserRiskEvents - Identity Protection のリスク検出レポートのようなデータを提供します。
- RiskyServicePrincipals - Identity Protection の危険なワークロード ID レポートのようなデータを提供します。
- ServicePrincipalRiskEvents - Identity Protection のワークロード ID の検出レポートのようなデータを提供します。
上の図では、トリガーされた最新の 5 つのリスク検出が示されるように次のクエリが実行されています。
AADUserRiskEvents
| take 5
もう 1 つのオプションは、AADRiskyUsers テーブルに対してクエリを実行して、危険なユーザーをすべて表示する方法です。
AADRiskyUsers
注意
Log Analytics では、ストリーミング中のデータのみが可視化されます。 Azure AD からのイベントの送信を有効にする前のイベントは表示されません。
ストレージ アカウント
ログを Azure ストレージ アカウントにルーティングすると既定の保持期間より長く保持できます。 詳細については、「チュートリアル: Azure AD のログを Azure ストレージ アカウントにアーカイブする」の記事をご覧ください。
Azure Event Hubs
Azure Event Hubs では、Azure AD Identity Protection のようなソースからの受信データを参照し、リアルタイムの分析と相関関係を提供できます。 詳細については、「チュートリアル: Azure Active Directory ログを Azure イベント ハブにストリーム配信する」の記事を参照してください
その他のオプション
組織では、さらに処理するために Azure AD データを Microsoft Sentinel に接続することも選択できます。
組織では、Microsoft Graph API を使用して、リスク イベントをプログラムで操作できます。