Procedure: risicogegevens exporteren
Microsoft Entra ID slaat rapporten en beveiligingssignalen op gedurende een gedefinieerde periode. Als het gaat om informatie over risico's die mogelijk niet lang genoeg zijn.
| Rapport / signaal | Microsoft Entra ID Free | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| Auditlogboeken | 7 dagen | 30 dagen | 30 dagen |
| Aanmeldingen | 7 dagen | 30 dagen | 30 dagen |
| Gebruik van meervoudige verificatie voor Microsoft Entra | 30 dagen | 30 dagen | 30 dagen |
| Riskante aanmeldingen | 7 dagen | 30 dagen | 30 dagen |
Organisaties kunnen ervoor kiezen om gegevens langer op te slaan door diagnostische instellingen te wijzigen in Microsoft Entra ID om RiskyUsers, UserRiskEvents, RiskyServicePrincipals en ServicePrincipalRiskEvents-gegevens te verzenden naar een Log Analytics-werkruimte, gegevens te archiveren naar een opslagaccount, gegevens naar een Event Hub te streamen of gegevens naar een partneroplossing te verzenden. Zoek deze opties in het Microsoft Entra-beheercentrum>Identity>Monitoring & health>Diagnostic settings>Edit setting. Als u geen diagnostische instelling hebt, dan volgt u de instructies in het artikel Diagnostische instellingen maken om platformlogboeken en metrische gegevens te verzenden naar verschillende bestemmingen om er een te maken.
Log Analytics
Met Log Analytics kunnen organisaties query's uitvoeren op gegevens met ingebouwde query's of aangepaste Kusto-query's. Zie Aan de slag met logboekquery's in Azure Monitor voor meer informatie.
Zodra u toegang hebt gevonden tot Log Analytics in het Microsoft Entra-beheercentrum>Identity>Monitoring &health>Log Analytics. De volgende tabellen zijn van groot belang voor Identity Protection-beheerders:
- AADRiskyUsers - Geeft gegevens weer zoals het rapport Riskante gebruikers in Identity Protection.
- AADUserRiskEvents : geeft gegevens weer zoals het rapport Risicodetectie in Identity Protection.
- RiskyServicePrincipals: geeft gegevens weer zoals het rapport Riskante workloadidentiteiten in Identity Protection.
- ServicePrincipalRiskEvents: geeft gegevens weer zoals het rapport Identiteitsdetecties voor workloads in Identity Protection.
Notitie
Log Analytics heeft alleen inzicht in gegevens terwijl ze worden gestreamd. Gebeurtenissen voordat het verzenden van gebeurtenissen vanuit Microsoft Entra-id wordt ingeschakeld, worden niet weergegeven.
Voorbeeldquery's
In de vorige afbeelding is de volgende query uitgevoerd om de meest recente vijf risicodetecties weer te geven die zijn geactiveerd.
AADUserRiskEvents
| take 5
Een andere optie is om een query uit te voeren op de tabel AADRiskyUsers om alle riskante gebruikers te weer te geven.
AADRiskyUsers
Het aantal gebruikers met een hoog risico per dag weergeven:
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
Bekijk nuttige onderzoeksdetails, zoals tekenreeks van de gebruikersagent, voor detecties die een hoog risico lopen en die niet worden hersteld of gesloten:
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
Krijg toegang tot meer query's en visuele inzichten op basis van AADUserRiskEvents en AADRisky-gebruikerslogboeken in de werkmap Impactanalyse van op risico's gebaseerd toegangsbeleid.
Opslagaccount
Door logboeken te routeren naar een Azure Storage-account, kunt u deze langer bewaren dan de standaardbewaartermijn. Zie het artikel Zelfstudie: Microsoft Entra-logboeken archiveren naar een Azure-opslagaccount voor meer informatie.
Azure Event Hubs
Azure Event Hubs kan inkomende gegevens bekijken uit bronnen zoals Microsoft Entra ID Protection en realtime analyse en correlatie bieden. Zie het artikel Zelfstudie: Microsoft Entra-logboeken streamen naar een Azure Event Hub voor meer informatie.
Andere opties
Organisaties kunnen ervoor kiezen om Microsoft Entra-gegevens te verbinden met Microsoft Sentinel en voor verdere verwerking.
Organisaties kunnen de Microsoft Graph API gebruiken om programmatisch te communiceren met risico-gebeurtenissen.
Volgende stappen
- Wat is Microsoft Entra-bewaking?
- De Log Analytics-weergaven voor Microsoft Entra-id installeren en gebruiken
- Verbinding maken gegevens van Microsoft Entra ID Protection
- Microsoft Entra ID Protection en de Microsoft Graph PowerShell SDK
- Zelfstudie: Microsoft Entra-logboeken streamen naar een Azure Event Hub