Instrukcje: eksportowanie danych dotyczących ryzyka
Microsoft Entra ID przechowuje raporty i sygnały zabezpieczeń przez określony okres czasu. Jeśli chodzi o informacje o ryzyku, okres może nie być wystarczająco długi.
| Raport/sygnał | Microsoft Entra ID Free | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| Dzienniki inspekcji | 7 dni | 30 dni | 30 dni |
| Logowania | 7 dni | 30 dni | 30 dni |
| Użycie uwierzytelniania wieloskładnikowego Microsoft Entra | 30 dni | 30 dni | 30 dni |
| Ryzykowne logowania | 7 dni | 30 dni | 30 dni |
Organizacje mogą przechowywać dane przez dłuższy czas, zmieniając ustawienia diagnostyczne w usłudze Microsoft Entra ID, aby wysyłać riskyUsers, UserRiskEvents, RiskyServicePrincipals i ServicePrincipalRiskEvents do obszaru roboczego usługi Log Analytics, archiwizować dane na koncie magazynu, przesyłać strumieniowo dane do centrum zdarzeń lub wysyłać dane do rozwiązania partnerskiego. Znajdź te opcje w ustawieniach edycji w centrum>administracyjnym firmy Microsoft Entra Identity>Monitoring & health>>. Jeśli nie masz ustawienia diagnostycznego, postępuj zgodnie z instrukcjami w artykule Create diagnostic settings to send platform logs and metrics to different destinations to create one (Tworzenie ustawień diagnostycznych w celu wysyłania dzienników i metryk platformy do różnych miejsc docelowych).
Log Analytics
Usługa Log Analytics umożliwia organizacjom wykonywanie zapytań dotyczących danych przy użyciu wbudowanych zapytań lub niestandardowych utworzonych zapytań Kusto, aby uzyskać więcej informacji, zobacz Rozpoczynanie pracy z zapytaniami dzienników w usłudze Azure Monitor.
Po włączeniu tej opcji będziesz mieć dostęp do usługi Log Analytics w centrum>administracyjnym firmy Microsoft Entra Identity>Monitoring & health>Log Analytics. Poniższe tabele są najbardziej interesujące dla administratorów usługi Identity Protection:
- AADRiskyUsers — udostępnia dane, takie jak raport Ryzykowni użytkownicy w usłudze Identity Protection.
- AADUserRiskEvents — udostępnia dane, takie jak raport Wykrywanie ryzyka w usłudze Identity Protection.
- RiskyServicePrincipals — udostępnia dane, takie jak raport Ryzykowne tożsamości obciążenia w usłudze Identity Protection.
- ServicePrincipalRiskEvents — udostępnia dane, takie jak raport Wykrywania tożsamości obciążenia w usłudze Identity Protection.
Na poprzedniej ilustracji uruchomiono następujące zapytanie, aby wyświetlić ostatnie pięć wyzwolonych wykryć ryzyka.
AADUserRiskEvents
| take 5
Inną opcją jest wysłanie zapytania do tabeli AADRiskyUsers, aby zobaczyć wszystkich ryzykownych użytkowników.
AADRiskyUsers
Uwaga
Usługa Log Analytics ma wgląd tylko w dane przesyłane strumieniowo. Zdarzenia przed włączeniem wysyłania zdarzeń z identyfikatora Entra firmy Microsoft nie są wyświetlane.
Konto magazynu
Po routingu dzienników do konta usługi Azure Storage można zachować je dłużej niż domyślny okres przechowywania. Aby uzyskać więcej informacji, zobacz artykuł Samouczek: archiwizowanie dzienników firmy Microsoft na koncie usługi Azure Storage.
Azure Event Hubs
Usługa Azure Event Hubs może przeglądać dane przychodzące ze źródeł, takich jak Ochrona tożsamości Microsoft Entra i zapewniać analizę i korelację w czasie rzeczywistym. Aby uzyskać więcej informacji, zobacz artykuł Samouczek: przesyłanie dzienników usługi Microsoft Entra do centrum zdarzeń platformy Azure
Inne opcje
Organizacje mogą łączyć dane firmy Microsoft Entra z usługą Microsoft Sentinel , a także w celu dalszego przetwarzania.
Organizacje mogą używać interfejsu API programu Microsoft Graph do programistycznej interakcji ze zdarzeniami ryzyka.
Następne kroki
- Co to jest monitorowanie firmy Microsoft Entra?
- Instalowanie i używanie widoków usługi Log Analytics dla identyfikatora Entra firmy Microsoft
- Połączenie danych z Ochrona tożsamości Microsoft Entra
- Ochrona tożsamości Microsoft Entra i zestawu Microsoft Graph PowerShell SDK
- Samouczek: przesyłanie strumieniowe dzienników usługi Microsoft Entra do centrum zdarzeń platformy Azure