Procedimentos: Exportar dados de risco
O Microsoft Entra ID armazena relatórios e sinais de segurança por um período de tempo definido. Quando se trata de informações de risco, esse período pode não ser suficientemente longo.
| Relatório / Sinal | Microsoft Entra ID Gratuito | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| Registos de auditoria | 7 dias | 30 dias | 30 dias |
| Inícios de sessão | 7 dias | 30 dias | 30 dias |
| Utilização da autenticação multifator do Microsoft Entra | 30 dias | 30 dias | 30 dias |
| Inícios de sessão de risco | 7 dias | 30 dias | 30 dias |
As organizações podem optar por armazenar dados por períodos mais longos alterando as configurações de diagnóstico no Microsoft Entra ID para enviar dados RiskyUsers, UserRiskEvents, RiskyServicePrincipals e ServicePrincipalRiskEvents para um espaço de trabalho do Log Analytics, arquivar dados em uma conta de armazenamento, transmitir dados para um hub de eventos ou enviar dados para uma solução de parceiro. Encontre estas opções no centro>de administração do Microsoft Entra Monitoramento de identidade>& integridade>Configurações>de diagnóstico Editar configuração. Se você não tiver uma configuração de diagnóstico, siga as instruções no artigo Criar configurações de diagnóstico para enviar logs e métricas da plataforma para destinos diferentes para criar um.
Log Analytics
O Log Analytics permite que as organizações consultem dados usando consultas internas ou consultas Kusto criadas personalizadas, para obter mais informações, consulte Introdução às consultas de log no Azure Monitor.
Uma vez ativado, você encontrará acesso ao Log Analytics no centro>de administração do Microsoft Entra, Identity>Monitoring & health,>Log Analytics. As tabelas a seguir são de maior interesse para os administradores do Identity Protection:
- AADRiskyUsers - Fornece dados como o relatório de usuários arriscados na Proteção de identidade.
- AADUserRiskEvents - Fornece dados como o relatório de deteções de risco na Proteção de identidade.
- RiskyServicePrincipals - Fornece dados como o relatório de identidades de carga de trabalho de risco na Proteção de identidade.
- ServicePrincipalRiskEvents - Fornece dados como o relatório de deteções de identidade de carga de trabalho na Proteção de identidade.
Na imagem anterior, a consulta a seguir foi executada para mostrar as cinco deteções de risco mais recentes acionadas.
AADUserRiskEvents
| take 5
Outra opção é consultar a tabela AADRiskyUsers para ver todos os usuários arriscados.
AADRiskyUsers
Nota
O Log Analytics só tem visibilidade dos dados à medida que são transmitidos. Os eventos anteriores à habilitação do envio de eventos da ID do Microsoft Entra não aparecem.
Storage account
Ao rotear logs para uma conta de armazenamento do Azure, você pode mantê-la por mais tempo do que o período de retenção padrão. Para obter mais informações, consulte o artigo Tutorial: Arquivar logs do Microsoft Entra em uma conta de armazenamento do Azure.
Hubs de Eventos do Azure
Os Hubs de Eventos do Azure podem examinar dados de entrada de fontes como a Proteção de ID do Microsoft Entra e fornecer análise e correlação em tempo real. Para obter mais informações, consulte o artigo Tutorial: Transmitir logs do Microsoft Entra para um hub de eventos do Azure
Outras opções
As organizações também podem optar por conectar os dados do Microsoft Entra ao Microsoft Sentinel para processamento posterior.
As organizações podem usar a API do Microsoft Graph para interagir programaticamente com eventos de risco.
Próximos passos
- O que é o monitoramento do Microsoft Entra?
- Instalar e usar as exibições de análise de log para o Microsoft Entra ID
- Conectar dados do Microsoft Entra ID Protection
- Proteção de ID do Microsoft Entra e o SDK do Microsoft Graph PowerShell
- Tutorial: Transmitir logs do Microsoft Entra para um hub de eventos do Azure