Procedure: Risicogegevens exporteren
Microsoft Entra ID slaat rapporten en beveiligingssignalen op gedurende een gedefinieerde periode. Als het gaat om informatie over risico's die mogelijk niet lang genoeg zijn.
| Rapport/signaal | Microsoft Entra ID Free | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| Auditlogboeken | 7 dagen | 30 dagen | 30 dagen |
| Aanmeldingen | 7 dagen | 30 dagen | 30 dagen |
| Gebruik van meervoudige verificatie van Microsoft Entra | 30 dagen | 30 dagen | 30 dagen |
| Riskante aanmeldingen | 7 dagen | 30 dagen | 30 dagen |
Organisaties kunnen ervoor kiezen om gegevens langer op te slaan door diagnostische instellingen te wijzigen in Microsoft Entra ID om RiskyUsers, UserRiskEvents, RiskyServicePrincipals en ServicePrincipalRiskEvents-gegevens te verzenden naar een Log Analytics-werkruimte, gegevens te archiveren naar een opslagaccount, gegevens naar een Event Hub te streamen of gegevens naar een partneroplossing te verzenden. Zoek deze opties in het Microsoft Entra-beheercentrum>Identity>Monitoring & health>Diagnostic settings>Edit setting. Als u geen diagnostische instelling hebt, volgt u de instructies in het artikel Diagnostische instellingen maken om platformlogboeken en metrische gegevens naar verschillende bestemmingen te verzenden om er een te maken.
Log Analytics
Met Log Analytics kunnen organisaties query's uitvoeren op gegevens met behulp van ingebouwde query's of aangepaste Kusto-query's. Zie Aan de slag met logboekquery's in Azure Monitor voor meer informatie.
Zodra u toegang hebt gevonden tot Log Analytics in het Microsoft Entra-beheercentrum>Identity>Monitoring &health>Log Analytics. De volgende tabellen zijn van belang voor Beheerders van Microsoft Entra ID Protection:
- AADRiskyUsers : biedt gegevens zoals het rapport Riskante gebruikers .
- AADUserRiskEvents - Biedt gegevens zoals het rapport Risicodetecties .
- RiskyServicePrincipals : biedt gegevens zoals het rapport Riskante workloadidentiteiten .
- ServicePrincipalRiskEvents : biedt gegevens zoals het rapport over detectie van workloadidentiteiten .
Notitie
Log Analytics heeft alleen inzicht in gegevens terwijl deze worden gestreamd. Gebeurtenissen voordat het verzenden van gebeurtenissen vanuit Microsoft Entra-id wordt ingeschakeld, worden niet weergegeven.
Voorbeeldquery's
In de vorige afbeelding is de volgende query uitgevoerd om de meest recente vijf risicodetecties weer te geven die zijn geactiveerd.
AADUserRiskEvents
| take 5
Een andere optie is om een query uit te voeren op de tabel AADRiskyUsers om alle riskante gebruikers te zien.
AADRiskyUsers
Het aantal gebruikers met een hoog risico per dag weergeven:
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
Bekijk nuttige onderzoeksdetails, zoals tekenreeks van de gebruikersagent, voor detecties die een hoog risico lopen en die niet worden hersteld of gesloten:
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
Krijg toegang tot meer query's en visuele inzichten op basis van AADUserRiskEvents en AADRisky-gebruikerslogboeken in de werkmap Impactanalyse van op risico's gebaseerd toegangsbeleid.
Opslagaccount
Door logboeken naar een Azure-opslagaccount te routeren, kunt u dit langer bewaren dan de standaardretentieperiode. Zie het artikel Zelfstudie: Microsoft Entra-logboeken archiveren naar een Azure-opslagaccount voor meer informatie.
Azure Event Hubs
Azure Event Hubs kan inkomende gegevens bekijken uit bronnen zoals Microsoft Entra ID Protection en realtime analyse en correlatie bieden. Zie het artikel Zelfstudie: Microsoft Entra-logboeken streamen naar een Azure Event Hub voor meer informatie.
Andere opties
Organisaties kunnen ervoor kiezen om Microsoft Entra-gegevens te verbinden met Microsoft Sentinel en voor verdere verwerking.
Organisaties kunnen de Microsoft Graph API gebruiken om programmatisch te communiceren met risico-gebeurtenissen.
Volgende stappen
- Wat is Microsoft Entra-bewaking?
- De Log Analytics-weergaven voor Microsoft Entra-id installeren en gebruiken
- Verbinding maken met gegevens van Microsoft Entra ID Protection
- Microsoft Entra ID Protection en de Microsoft Graph PowerShell SDK
- Zelfstudie: Microsoft Entra-logboeken streamen naar een Azure Event Hub