Microsoft Entra ID 會將報告與安全性訊號儲存一段定義的期間。 當談到風險資訊時,該期間可能不夠長。
| 報告/訊號 | Microsoft Entra ID 免費版 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| 稽核記錄 | 7 天 | 30 天 | 30 天 |
| 登入 | 7 天 | 30 天 | 30 天 |
| Microsoft Entra 多重身份驗證的使用情況 | 30 天 | 30 天 | 30 天 |
| 有風險的登入 | 7 天 | 30 天 | 30 天 |
本文說明從 Microsoft Entra ID Protection 匯出風險數據以進行長期儲存和分析的可用方法。
必要條件
若要匯出記憶體和分析的風險數據,您需要:
- 用來建立 Log Analytics 工作區、Azure 事件中樞或 Azure 記憶體帳戶的 Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以 註冊免費試用。
- 安全性系統管理員角色是設定 Microsoft Entra 租用戶診斷設定所需的最低許可權角色。
診斷設定
組織可選擇儲存或匯出RiskyUsers、UserRiskEvents、RiskyServicePrincipals、ServicePrincipalRiskEvents、RiskyAgents,以及 AgentRiskEvents,透過Microsoft Entra ID中設定診斷設定匯出資料。 您可以將數據與 Log Analytics 工作區整合、將數據封存至記憶體帳戶、將數據串流至事件中樞,或將數據傳送至合作夥伴解決方案。
您選取用來匯出記錄的端點必須先設定,才能設定診斷設定。 如需有關記錄儲存與分析的可用方法的快速總結,請參閱 如何在 Microsoft Entra ID 中存取作業記錄。
以至少擁有安全性系統管理員權限的身分登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>監視與健康情況>診斷設定。
選取 [+ 新增診斷設定]。
輸入 診斷設定名稱、選取您要串流的記錄類別、選取先前設定的目的地,然後選取 [ 儲存]。
您可能需要等候大約 15 分鐘,數據才能開始出現在您選取的目的地中。 如需詳細資訊,請參閱 如何設定Microsoft Entra 診斷設定。
Log Analytics
將風險數據與Log Analytics整合可提供強大的數據分析和視覺效果功能。 使用 Log Analytics 分析風險數據的高階程式如下:
您必須先設定 Log Analytics 工作區,才能匯出然後查詢數據。 設定 Log Analytics 工作區並匯出診斷設定的數據後,請移至 Microsoft Entra 系統管理中心>Entra ID>Monitoring & health>Log Analytics。 然後,使用 Log Analytics,您可以使用內建或自定義 Kusto 查詢來查詢數據。
下列是 Microsoft Entra ID Protection 管理員最感興趣的資料表:
- RiskyUsers - 提供像是 Risky 使用者 報告的數據。
- UserRiskEvents - 提供像是 風險偵測 報告的數據。
- RiskyServicePrincipals - 提供 [具風險工作負載身分識別] 報告之類的資料。
- ServicePrincipalRiskEvents - 提供類似於工作負載身分識別偵測報告的數據。
- RiskyAgents - 提供如Risky agents報告這樣的資料。
- AgentRiskEvents - 提供像是 代理身份偵測 報告的資料。
注意
Log Analytics 只能檢視串流之後的資料。 啟用從 Microsoft Entra ID 傳送事件之前的事件不會顯示。
範例查詢
上圖執行了下列查詢,以顯示最近觸發的五個風險偵測。
AADUserRiskEvents
| take 5
另一個選項是查詢 AADRiskyUsers 資料表,以查看所有具風險使用者。
AADRiskyUsers
依日檢視高風險使用者的計數:
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
檢視有用的調查詳細資料(例如使用者代理字串),以針對高風險且未被修復或解決的偵測。
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
在 基於風險的存取原則活頁簿的影響分析中,根據 AADUserRiskEvents 和 AADRisky Users 日誌,存取更多查詢和視覺見解。
風險分析
組織可以減少安全性作業中心 (SOC) 工作負載,並透過風險型條件式存取原則來支援額外負荷。 如需詳細資訊,請參閱下列影片掌握使用 Microsoft Entra ID Protection 進行風險分析。
儲存體帳戶
藉由將記錄路由傳送至 Azure 記憶體帳戶,您可以將數據保留時間超過預設保留期限。
Azure 事件中樞
Azure 事件中樞可讓您查看從 Microsoft Entra ID Protection 等來源傳入的資料,並提供即時分析和相互關聯。
Microsoft Sentinel
組織可以選擇將 Microsoft Entra 資料連線到 Microsoft Sentinel,以進行安全性資訊和事件管理(SIEM)以及安全性協調、自動化和回應(SOAR)。