Практическое руководство: экспорт данных о рисках
Идентификатор Microsoft Entra хранит отчеты и сигналы безопасности в течение определенного периода времени. Когда дело доходит до сведений о рисках, что период может быть недостаточно длинным.
Отчет/сигнал | Microsoft Entra ID, уровень «Бесплатный» | Microsoft Entra ID, лицензия P1 | Microsoft Entra ID, лицензия P2 |
---|---|---|---|
Журналы аудита | 7 дней | 30 дней | 30 дней |
Вход в систему | 7 дней | 30 дней | 30 дней |
Использование многофакторной проверки подлинности Microsoft Entra | 30 дней | 30 дней | 30 дней |
Вход, представляющий риск | 7 дней | 30 дней | 30 дней |
Организации могут хранить данные в течение более длительных периодов, изменяя параметры диагностики в идентификаторе Microsoft Entra, чтобы отправлять данные RiskyUsers, UserRiskEvents, RiskyServicePrincipal и ServicePrincipalRiskEvents в рабочую область Log Analytics, архивировать данные в учетную запись хранения, передавать данные в концентратор событий или отправлять данные в партнерское решение. Найдите эти параметры в параметре "Мониторинг удостоверений Центра>администрирования Майкрософт" и "Параметры диагностики>работоспособности".>> Если у вас нет параметра диагностики, следуйте инструкциям в статье Создание параметров диагностики для отправки журналов и метрик платформы в различные места назначения, чтобы их создать.
Служба Log Analytics
Анализ журналов позволяет организациям запрашивать данные с помощью встроенных запросов или пользовательских запросов Kusto. Дополнительные сведения см. в статье Начало работы с запросами журнала в Azure Monitor.
После включения вы найдете доступ к Log Analytics в Центре>администрирования Microsoft Entra Identity>Monitoring и health>Log Analytics. Наибольший интерес для администраторов Защиты идентификации представляют следующие таблицы:
- AADRiskyUsers: предоставляет такие данные, как отчет о пользователях, совершающих рискованные действия, в защите идентификации.
- AADUserRiskEvents: предоставляет такие данные, как отчет об обнаружениях риска в защите идентификации.
- RiskyServicePrincipals: предоставляет такие данные, как отчет об опасных удостоверения рабочей нагрузки, в Защите идентификации.
- ServicePrincipalRiskEvents: предоставляет такие данные, как отчет об обнаружениях удостоверений рабочей нагрузки, в Защите идентификации.
На предыдущем изображении выполняется следующий запрос, чтобы отобразить последние пять обнаруженных рисков.
AADUserRiskEvents
| take 5
Другой вариант — выполнить запрос к таблице AADRiskyUsers, чтобы посмотреть всех пользователей, совершающих рискованные действия.
AADRiskyUsers
Примечание.
Анализ журналов показывает только данные в процессе потоковой передачи. События до включения отправки событий из идентификатора Microsoft Entra не отображаются.
Storage account
При маршрутизации журналов в учетную запись хранения Azure их можно хранить дольше периода хранения по умолчанию. Дополнительные сведения см. в руководстве по архиву журналов Microsoft Entra в учетной записи хранения Azure.
Центры событий Azure
Центры событий Azure могут просматривать входящие данные из источников, таких как Защита идентификации Microsoft Entra, и предоставлять анализ и корреляцию в режиме реального времени. Дополнительные сведения см. в руководстве по потоковой передаче журналов Microsoft Entra в концентратор событий Azure.
Другие варианты
Организации могут подключать данные Microsoft Entra к Microsoft Sentinel , а также для дальнейшей обработки.
Организации могут использовать API Microsoft Graph для программного взаимодействия с событиями риска.
Следующие шаги
- Что такое мониторинг Microsoft Entra?
- Установка и использование представлений log analytics для идентификатора Microsoft Entra
- Подключение данных из Защита идентификации Microsoft Entra
- Защита идентификации Microsoft Entra и пакет SDK Для Microsoft Graph PowerShell
- Руководство. Потоковая передача журналов Microsoft Entra в концентратор событий Azure