Nasıl Yapılır: Risk verilerini dışarı aktarma

  • Makale

Microsoft Entra Id, raporları ve güvenlik sinyallerini belirli bir süre boyunca depolar. Risk bilgileri söz konusu olduğunda bu süre yeterince uzun olmayabilir.

Rapor / Sinyal Microsoft Entra Kimliği Ücretsiz Microsoft Entra Kimliği P1 Microsoft Entra Kimliği P2
Denetim günlükleri 7 gün 30 gün 30 gün
Oturum açma işlemleri 7 gün 30 gün 30 gün
Microsoft Entra çok faktörlü kimlik doğrulaması kullanımı 30 gün 30 gün 30 gün
Riskli oturum açma işlemleri 7 gün 30 gün 30 gün

Kuruluşlar RiskyUsers, UserRiskEvents, RiskyServicePrincipals ve ServicePrincipalRiskEvents verilerini Log Analytics çalışma alanına göndermek, verileri depolama hesabına arşivle, bir olay hub'ına veri akışı yapmak veya iş ortağı çözümüne veri göndermek için Microsoft Entra Id'deki tanılama ayarlarını değiştirerek verileri daha uzun süreler boyunca depolamayı seçebilir. Bu seçenekleri Microsoft Entra yönetim merkezi>Kimlik>İzleme ve sistem durumu>Tanılama ayarları>Düzenle ayarında bulabilirsiniz. Tanılama ayarınız yoksa, platform günlüklerini ve ölçümlerini oluşturmak üzere farklı hedeflere göndermek için tanılama ayarları oluşturma makalesindeki yönergeleri izleyin.

Diagnostic settings screen in Microsoft Entra ID showing existing configuration

Log Analytics

Log Analytics, kuruluşların yerleşik sorguları veya özel oluşturulmuş Kusto sorgularını kullanarak verileri sorgulamasına olanak tanır. Daha fazla bilgi için bkz . Azure İzleyici'de günlük sorgularını kullanmaya başlama.

Etkinleştirildikten sonra Log Analytics'e erişimi Microsoft Entra yönetim merkezi>Kimlik>İzleme ve sistem durumu>Log Analytics'te bulabilirsiniz. Aşağıdaki tablolar, Kimlik Koruması yöneticileri için en çok ilgi çekici olan tablolardır:

  • AADRiskyUsers - Kimlik Koruması'nda Riskli kullanıcılar raporu gibi veriler sağlar.
  • AADUserRiskEvents - Kimlik Koruması'ndaki Risk algılamaları raporu gibi veriler sağlar.
  • RiskyServicePrincipals - Kimlik Koruması'nda Riskli iş yükü kimlikleri raporu gibi veriler sağlar.
  • ServicePrincipalRiskEvents - Kimlik Koruması'ndaki İş yükü kimlik algılamaları raporu gibi veriler sağlar.

Log Analytics view showing a query against the AADUserRiskEvents table showing the top 5 events

Önceki görüntüde, tetiklenen en son beş risk algılamasını göstermek için aşağıdaki sorgu çalıştırıldı.

AADUserRiskEvents
| take 5

Diğer bir seçenek de tüm riskli kullanıcıları görmek için AADRiskyUsers tablosunu sorgulamaktır.

AADRiskyUsers

Dekont

Log Analytics yalnızca akışla aktarıldığında verilere görünürlük sağlar. Microsoft Entra Id'den olay göndermeyi etkinleştirmeden önceki olaylar görünmez.

Storage account

Günlükleri bir Azure depolama hesabına yönlendirerek, varsayılan saklama süresinden daha uzun süre saklayabilirsiniz. Daha fazla bilgi için Öğretici: Microsoft Entra günlüklerini azure depolama hesabına arşivle makalesine bakın.

Azure Event Hubs

Azure Event Hubs, Microsoft Entra Kimlik Koruması gibi kaynaklardan gelen verilere bakabilir ve gerçek zamanlı analiz ile bağıntı sağlayabilir. Daha fazla bilgi için Öğretici: Microsoft Entra günlüklerini Azure olay hub'ına akışla aktarma makalesine bakın

Diğer seçenekler

Kuruluşlar, daha fazla işlem için Microsoft Entra verilerini Microsoft Sentinel'e bağlamayı seçebilir.

Kuruluşlar, risk olaylarıyla program aracılığıyla etkileşime geçmek için Microsoft Graph API'sini kullanabilir.

Sonraki adımlar