操作說明:匯出風險資料
Microsoft Entra ID 會將報告與安全性訊號儲存一段定義的期間。 對風險資訊而言,這段期間可能不夠長。
| 報告/訊號 | Microsoft Entra ID Free | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| 稽核記錄 | 7 天 | 30 天 | 30 天 |
| 登入 | 7 天 | 30 天 | 30 天 |
| Microsoft Entra 多重要素驗證使用量 | 30 天 | 30 天 | 30 天 |
| 有風險的登入 | 7 天 | 30 天 | 30 天 |
組織可以選擇將資料儲存較長的時間,方法是變更 Microsoft Entra ID 中的診斷設定,以將 RiskyUsers、UserRiskEvents、RiskyServicePrincipals 和 ServicePrincipalRiskEvents 資料傳送至 Log Analytics 工作區、將資料封存至儲存體帳戶、將資料串流至事件中樞,或將資料傳送至合作夥伴解決方案。 在 Microsoft Entra 系統管理中心>[身分識別] > [監視與健康情況] > [診斷設定] > [編輯設定] 中尋找這些選項。 如果您沒有診斷設定,請依照建立診斷設定以將平台記錄和計量傳送至不同目的地一文中的指示建立一個。
Log Analytics
Log Analytics 可讓組織使用內建查詢或自訂建立的 Kusto 查詢來查詢資料。如需詳細資訊,請參閱開始使用 Azure 監視器中的記錄查詢。
啟用之後,您可以在 Microsoft Entra 系統管理中心>[身分識別] > [監視與健康情況] > [Log Analytics] 找到 Log Analytics 的存取權。 下列是 Identity Protection 管理員最感興趣的資料表:
- AADRiskyUsers - 提供 Identity Protection 中 [具風險使用者] 報告之類的資料。
- AADUserRiskEvents - 提供 Identity Protection 中 [風險偵測] 報告之類的資料。
- RiskyServicePrincipals - 提供 Identity Protection 中 [具風險工作負載身分識別] 報告之類的資料。
- ServicePrincipalRiskEvents - 提供 Identity Protection 中 [工作負載身分識別偵測] 報告之類的資料。
注意
Log Analytics 只能檢視串流之後的資料。 啟用從 Microsoft Entra ID 傳送事件之前的事件都不會出現。
範例查詢
上圖執行了下列查詢,以顯示最近觸發的五個風險偵測。
AADUserRiskEvents
| take 5
另一個選項是查詢 AADRiskyUsers 資料表,以查看所有具風險使用者。
AADRiskyUsers
依日檢視高風險使用者的計數:
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
檢視有用的調查詳細資料 (例如使用者代理程式字串),了解高風險且未補救或關閉的偵測:
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
根據風險型存取原則的影響分析活頁簿中的 AADUserRiskEvents 和 AADRisky 使用者記錄,存取更多查詢和視覺效果見解。
儲存體帳戶
藉由將記錄路由傳送至 Azure 儲存體帳戶,您可以將其保留超過預設保留期間。 如需詳細資訊,請參閱教學課程:將 Microsoft Entra 記錄封存到 Azure 儲存體帳戶一文。
Azure 事件中樞
Azure 事件中樞可讓您查看從 Microsoft Entra ID Protection 等來源傳入的資料,並提供即時分析和相互關聯。 如需詳細資訊,請參閱教學課程:將 Microsoft Entra 記錄串流到 Azure 事件中樞一文。
其他選項
組織也可選擇將 Microsoft Entra 資料連線到 Microsoft Sentinel,以進行進一步的處理。
組織可使用 Microsoft Graph API,以程式設計方式與風險事件互動。
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: