방법: 위험 데이터 내보내기
Microsoft Entra ID는 보고서 및 보안 신호를 정의된 기간 동안 저장합니다. 위험 정보에 관해서 그 기간 충분히 오래 되지 않을 수 있습니다.
| 보고서/신호 | Microsoft Entra ID Free | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| 감사 로그 | 7 일 | 30일 | 30일 |
| 로그인 | 7 일 | 30일 | 30일 |
| Microsoft Entra 다단계 인증 사용량 | 30일 | 30일 | 30일 |
| 위험한 로그인 | 7 일 | 30일 | 30일 |
조직은 Microsoft Entra ID에서 RiskyUsers, UserRiskEvents, RiskyServicePrincipals 및 ServicePrincipalRiskEvents 데이터를 Log Analytics 작업 영역에 전송하도록 진단 설정을 변경하여 데이터를 더 오랜 기간 저장하거나, 데이터를 스토리지 계정에 보관하거나, 데이터를 이벤트 허브로 스트리밍하거나, 데이터를 파트너 솔루션에 전송하도록 선택할 수 있습니다. Microsoft Entra 관리 센터>ID>모니터링 및 상태>진단 설정 편집 설정>에서 이러한 옵션을 찾습니다. 진단 설정이 없는 경우 플랫폼 로그 및 메트릭을 다른 대상으로 전송하는 진단 설정 만들기 문서의 지침에 따라 만듭니다.
Log Analytics
Log Analytics를 사용하면 조직에서 기본 제공 쿼리 또는 만든 사용자 지정 Kusto 쿼리를 사용하여 데이터를 쿼리할 수 있습니다. 자세한 내용은 Azure Monitor에서 로그 쿼리 시작을 참조하세요.
사용하도록 설정되면 Microsoft Entra 관리 센터>ID>모니터링 및 상태>Log Analytics에서 Log Analytics에 대한 액세스를 찾습니다. 다음 표는 ID 보호 관리자에게 가장 유용합니다.
- AADRiskyUsers - Identity Protection에서 위험 사용자 보고서와 같은 데이터를 제공합니다.
- AADUserRiskEvents - Identity Protection에서 위험 감지 보고서와 같은 데이터를 제공합니다.
- RiskyServicePrincipals - ID 보호에서 위험한 워크로드 ID 보고서와 같은 데이터를 제공합니다.
- ServicePrincipalRiskEvents - ID 보호에서 워크로드 ID 검색 보고서와 같은 데이터를 제공합니다.
참고 항목
Log Analytics는 스트리밍되는 데이터에 대한 가시성만 갖습니다. Microsoft Entra ID에서 이벤트 전송을 사용하도록 설정하기 전의 이벤트는 표시되지 않습니다.
샘플 쿼리
이전 이미지에서는 가장 최근에 트리거된 5개의 위험 검색을 보여 주기 위해 다음과 같은 쿼리가 실행되었습니다.
AADUserRiskEvents
| take 5
또 다른 옵션은 AADRiskyUsers 테이블을 쿼리하여 위험 사용자를 모두 확인하는 것입니다.
AADRiskyUsers
일별 위험 수준이 높은 사용자 수를 확인합니다.
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
위험이 높고 수정되거나 해제되지 않은 검색에 대한 사용자 에이전트 문자열과 같은 유용한 조사 세부 정보를 확인합니다.
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
위험 기반 액세스 정책 통합 문서의 영향 분석에서 AADUserRiskEvents 및 AADRisky 사용자 로그를 기반으로 더 많은 쿼리 및 시각적 인사이트에 액세스합니다.
스토리지 계정
Azure 스토리지 계정으로 로그를 라우팅하면 기본 보존 기간보다 더 오래 보존할 수 있습니다. 자세한 내용은 자습서: Azure 스토리지 계정에 Microsoft Entra 로그 보관을 참조하세요.
Azure Event Hubs
Azure Event Hubs는 Microsoft Entra ID Protection과 같은 원본에서 들어오는 데이터를 확인하고 실시간 분석 및 상관 관계를 제공할 수 있습니다. 자세한 내용은 자습서: Azure 이벤트 허브로 Microsoft Entra 로그 스트리밍 문서를 참조하세요.
기타 옵션
조직은 추가 처리를 위해 Microsoft Sentinel에 Microsoft Entra 데이터를 연결하도록 선택할 수도 있습니다.
조직은 Microsoft Graph API를 사용하여 프로그래밍 방식으로 위험 이벤트와 상호 작용할 수 있습니다.