방법: 위험 데이터 내보내기

Microsoft Entra ID는 정의된 기간에 보고서 및 보안 신호를 저장합니다. 위험 정보의 경우 해당 기간이 충분히 길지 않을 수도 있습니다.

보고서/신호	Microsoft Entra ID 무료	Microsoft Entra ID P1	Microsoft Entra ID P2
감사 로그	7일	30일	30일
로그인	7일	30일	30일
Microsoft Entra 다단계 인증 사용	30일	30일	30일
위험한 로그인	7일	30일	30일

조직은 Microsoft Entra ID에서 RiskyUsers, UserRiskEvents, RiskyServicePrincipals 및 ServicePrincipalRiskEvents 데이터를 Log Analytics 작업 영역에 전송하도록 진단 설정을 변경하여 데이터를 더 오랜 기간 저장하거나, 데이터를 스토리지 계정에 보관하거나, 데이터를 이벤트 허브로 스트리밍하거나, 데이터를 파트너 솔루션에 전송하도록 선택할 수 있습니다. Microsoft Entra 관리 센터>ID>모니터링 및 상태>진단 설정>편집 설정에서 이러한 옵션을 찾습니다. 진단 설정이 없는 경우 플랫폼 로그 및 메트릭을 다른 대상으로 전송하는 진단 설정 만들기 문서의 지침에 따라 만듭니다.

Log Analytics

Log Analytics를 사용하면 조직에서 기본 제공 쿼리 또는 사용자 지정 만든 Kusto 쿼리를 사용하여 데이터를 쿼리할 수 있습니다. 자세한 내용은 Azure Monitor에서 로그 쿼리 시작을 참조하세요.

사용하도록 설정되면 Microsoft Entra 관리 센터>ID>모니터링 및 상태>Log Analytics에서 Log Analytics에 대한 액세스를 찾을 수 있습니다. 다음 표는 Microsoft Entra ID Protection 관리자에게 가장 유용합니다.

• AADRiskyUsers - 위험 사용자 보고서와 같은 데이터를 제공합니다.
• AADUserRiskEvents - 위험 검색 보고서와 같은 데이터를 제공합니다.
• RiskyServicePrincipals - 위험한 워크로드 ID 보고서와 같은 데이터를 제공합니다.
• ServicePrincipalRiskEvents - 워크로드 ID 검색 보고서와 같은 데이터를 제공합니다.

참고 항목

Log Analytics는 스트리밍되는 데이터에 대한 표시 여부만 지원합니다. Microsoft Entra ID에서 이벤트 전송을 사용하도록 설정하기 전의 이벤트는 표시되지 않습니다.

샘플 쿼리

이전 이미지에서는 가장 최근에 트리거된 5개의 위험 검색을 보여주기 위해 다음과 같은 쿼리가 실행되었습니다.

AADUserRiskEvents
| take 5

또 다른 옵션은 AADRiskyUsers 테이블을 쿼리하여 위험 사용자를 모두 확인하는 것입니다.

AADRiskyUsers

일별 위험 수준이 높은 사용자 수를 확인합니다.

AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)

위험이 높고 수정되거나 해제되지 않은 감지에 대한 사용자 에이전트 문자열과 같은 유용한 조사 세부 정보를 확인합니다.

AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId

위험 기반 액세스 정책 영향 분석 통합 문서에서 AADUserRiskEvents 및 AADRisky 사용자 로그를 기반으로 더 많은 쿼리와 시각적 인사이트에 액세스합니다.

스토리지 계정

Azure 스토리지 계정으로 로그를 라우팅하면 기본 보존 기간보다 더 오래 보존할 수 있습니다. 자세한 내용은 자습서: Azure 스토리지 계정에 Microsoft Entra 로그 보관을 참조하세요.

Azure Event Hubs

Azure Event Hubs는 Microsoft Entra ID Protection과 같은 원본에서 수신 데이터를 확인하고 실시간 분석 및 상관 관계를 제공할 수 있습니다. 자세한 내용은 자습서: Azure Event Hubs로 Microsoft Entra 로그 스트리밍 문서를 참조하세요.

기타 옵션

조직은 추가 처리를 위해 Microsoft Sentinel에 Microsoft Entra 데이터를 연결하도록 선택할 수도 있습니다.

조직은 Microsoft Graph API를 사용하여 프로그래밍 방식으로 위험 이벤트와 상호 작용할 수 있습니다.

다음 단계

• Microsoft Entra 모니터링이란?
• Microsoft Entra ID에 대한 로그 분석 보기 설치 및 사용
• Microsoft Entra ID Protection에서 데이터 연결
• Microsoft Entra ID Protection 및 Microsoft Graph PowerShell SDK
• 자습서: Microsoft Entra 로그를 Azure Event Hubs로 스트리밍