操作方式：导出风险数据

项目
09/30/2024

Microsoft Entra ID 在定义的时间段内存储报表和安全信号。涉及到风险信息时，时间可能不够长。

报表/信号	Microsoft Entra ID 免费版	Microsoft Entra ID P1	Microsoft Entra ID P2
审核日志	7 天	30 天	30 天
登录	7 天	30 天	30 天
Microsoft Entra 多重身份验证使用情况	30 天	30 天	30 天
有风险的登录	7 天	30 天	30 天

组织可以选择将数据存储更长时间，具体方式是更改 Microsoft Entra ID 中的诊断设置以将 RiskyUsers、UserRiskEvents、RiskyServicePrincipals 和 ServicePrincipalRiskEvents 数据发送到 Log Analytics 工作区、将数据存档到存储帐户、将数据流式传输到事件中心，或将数据发送到合作伙伴解决方案。在“Microsoft Entra 管理中心”>“标识”>“监视和运行状况”>“诊断设置”>“编辑设置”中找到这些选项。如果你没有诊断设置，请按照创建诊断设置以将平台日志和指标发送到不同的目标一文中的说明创建诊断设置。

Log Analytics

通过 Log Analytics，组织可以使用内置查询或自定义创建的 Kusto 查询来查询数据。有关详细信息，请参阅 Azure Monitor 中的日志查询入门。

启用后，可以在“Microsoft Entra 管理中心”>“标识”>“监视和运行状况”>“Log Analytics”中找到对 Log Analytics 的访问权限。下表提供了 Microsoft Entra ID 保护的管理员最感兴趣的内容：

AADRiskyUsers - 提供“风险用户”报告等数据。
AADUserRiskEvents - 提供“风险检测”报告等数据。
RiskyServicePrincipals - 提供“风险工作负载标识”报告等数据。
ServicePrincipalRiskEvents - 提供“工作负载标识检测”报告等数据。

注意

Log Analytics 仅对流式传输的数据具有可见性。不会显示启用从 Microsoft Entra ID 发送事件之前的事件。

示例查询

在上图中，运行了以下查询以显示最近触发的 5 个风险检测。

AADUserRiskEvents
| take 5

另一种选择是查询 AADRiskyUsers 表以查看所有风险用户。

AADRiskyUsers

按天查看高风险用户的计数：

AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)

查看有用的调查详细信息（如用户代理字符串），了解高风险且未修正或未消除的检测：

AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId

根据“基于风险的访问策略影响分析”工作簿中的 AADUserRiskEvents 和 AADRisky 用户日志访问更多查询和可视化见解。

存储帐户

通过将日志路由到 Azure 存储帐户，可以将日志保留更长一段时间（与默认保留期相比）。有关详细信息，请参阅教程：将 Microsoft Entra 日志存档到 Azure 存储帐户。

Azure 事件中心

Azure 事件中心可以查看来自源（如 Microsoft Entra ID 保护）的传入数据，并提供实时分析和关联。有关详细信息，请参阅文章教程：将 Microsoft Entra 日志流式传输到 Azure 事件中心。

其他选项

组织可选择将 Microsoft Entra 数据连接到 Microsoft Sentinel 进行进一步处理。

组织可使用 Microsoft Graph API 以编程方式与风险事件交互。

通过