Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Entra ID armazena relatórios e sinais de segurança por um período definido. Quando se trata de informações de risco, esse período pode não ser suficientemente longo.
| Relatório/sinal | Microsoft Entra ID Gratuito | Microsoft Entra ID P1 | ID do Microsoft Entra P2 |
|---|---|---|---|
| Logs de auditoria | 7 dias | 30 dias | 30 dias |
| Entradas | 7 dias | 30 dias | 30 dias |
| Uso da autenticação multifator do Microsoft Entra | 30 dias | 30 dias | 30 dias |
| Entradas de risco | 7 dias | 30 dias | 30 dias |
Este artigo descreve os métodos disponíveis para exportar dados de risco do Microsoft Entra ID Protection para fins de análise e armazenamento de longo prazo.
Pré-requisitos
Para exportar dados de risco para fins de análise e armazenamento, você precisa do seguinte:
- Uma assinatura do Azure para criar um workspace do Log Analytics, um hub de eventos do Azure ou uma conta de armazenamento do Azure. Se você não tiver uma assinatura do Azure, poderá se inscrever para uma avaliação gratuita.
- Acesso do Administrador de Segurança para criar configurações gerais de diagnóstico para o locatário do Microsoft Entra.
Configurações de Diagnóstico
As organizações podem optar por armazenar ou exportar dados RiskyUsers, UserRiskEvents, RiskyServicePrincipals e ServicePrincipalRiskEvents definindo as configurações de diagnóstico no Microsoft Entra ID para exportar os dados. Você pode integrar os dados com um workspace do Log Analytics, arquivar dados em uma conta de armazenamento, transmitir dados para um hub de eventos ou enviar dados para uma solução de parceiro.
O ponto de extremidade que você seleciona para exportar os logs deve ser configurado antes de você definir as configurações de diagnóstico. Para obter um resumo rápido dos métodos disponíveis para armazenamento e análise de logs, consulte Como acessar logs de atividades na ID do Microsoft Entra.
Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
Navegue até
Entra ID Monitoramento & Integridade Configurações de Diagnóstico .Selecione + Adicionar configuração de diagnóstico.
Insira um nome de configuração de diagnóstico, selecione as categorias de log que você deseja transmitir, selecione um destino configurado anteriormente e selecione Salvar.
Talvez você precise aguardar cerca de 15 minutos para que os dados comecem a aparecer no destino selecionado. Para obter mais informações, consulte Como definir as configurações de diagnóstico do Microsoft Entra.
Análise de Logs
A integração dos dados de risco com o Log Analytics fornece recursos robustos de análise e visualização de dados. O processo de alto nível para usar o Log Analytics para analisar dados de risco é o seguinte:
- Crie um workspace de Log Analytics
- Defina as configurações de diagnóstico do Microsoft Entra para exportar os dados.
- Consulte os dados no Log Analytics.
Você precisa configurar um workspace do Log Analytics antes de poder exportar e, a seguir, consultar os dados. Depois de configurar um workspace do Log Analytics e exportar os dados com as configurações de diagnóstico, vá para o
As tabelas a seguir são de maior interesse para os administradores do Microsoft Entra ID Protection:
- RiskyUsers – Fornece dados como o relatório de usuários arriscados .
- UserRiskEvents – Fornece dados como o relatório de detecções de risco .
- RiskyServicePrincipals – Fornece dados como o relatório de identidades de carga de trabalho arriscadas .
- ServicePrincipalRiskEvents – Fornece dados como o relatório de detecções de identidade de carga de trabalho.
Observação
O Log Analytics tem visibilidade apenas dos dados conforme eles são transmitidos. Os eventos anteriores à habilitação do envio de eventos do Microsoft Entra ID não são exibidos.
Consultas de exemplo
Na imagem anterior, a consulta em questão foi executada para mostrar as cinco detecções de risco mais recentes disparadas.
AADUserRiskEvents
| take 5
Outra opção é consultar a tabela AADRiskyUsers para ver todos os usuários arriscados.
AADRiskyUsers
Exibir a contagem de usuários de alto risco por dia:
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
Exiba detalhes úteis de investigação, como a cadeia de caracteres do agente do usuário, para detecções de alto risco que não foram corrigidas ou ignoradas:
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
Acesse mais consultas e insights visuais com base nos logs de Usuários do AADUserRiskEvents e do AADRisky na análise de impacto da pasta de trabalho de políticas de acesso baseadas em risco.
Conta de armazenamento
Ao rotear os logs para uma conta de armazenamento do Azure, você pode reter os dados por um período de tempo mais longo do que o período de retenção padrão.
- Crie uma conta de armazenamento do Azure.
- Arquive os logs do Microsoft Entra em uma conta de armazenamento.
Hubs de eventos do Azure
Os Hubs de Eventos do Azure podem examinar dados de entrada de fontes como Microsoft Entra ID Protection e fornecer análise e correlação em tempo real.
Microsoft Sentinel
As organizações podem optar por conectar dados do Microsoft Entra ao Microsoft Sentinel para gerenciamento de informações e eventos de segurança (SIEM) e orquestração, automação e resposta (SOAR) de segurança.
- Crie um workspace de Log Analytics
- Defina as configurações de diagnóstico do Microsoft Entra para exportar os dados.
- Conecte fontes de dados ao Microsoft Sentinel.