操作說明:匯出風險資料
Microsoft Entra ID 會儲存已定義一段時間的報表和安全性訊號。 當涉及到風險資訊,期間可能不夠長。
| 報表/ 訊號 | Microsoft Entra ID Free | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| 稽核記錄 | 7 天 | 30 天 | 30 天 |
| 登入 | 7 天 | 30 天 | 30 天 |
| Microsoft Entra 多重要素驗證使用量 | 30 天 | 30 天 | 30 天 |
| 有風險的登入 | 7 天 | 30 天 | 30 天 |
組織可以選擇將數據儲存較長的時間,方法是將 Microsoft Entra ID 中的診斷設定變更為將 RiskyUsers、UserRiskEvents、RiskyServicePrincipals 和 ServicePrincipalRiskEvents 數據傳送至 Log Analytics 工作區、將數據封存至記憶體帳戶、將數據串流至事件中樞,或將數據傳送至合作夥伴解決方案。 在 Microsoft Entra 系統管理中心>身分識別>監視與健康>情況診斷設定>[編輯] 設定中尋找這些選項。 如果您沒有診斷設定,請遵循建立診斷設定一文 中的指示,將平台記錄和計量傳送到不同的目的地 以建立一個。
Log Analytics
Log Analytics 可讓組織使用內建查詢或自定義建立的 Kusto 查詢來查詢數據,如需詳細資訊,請參閱 開始使用 Azure 監視器中的記錄查詢。
啟用之後,您會在 Microsoft Entra 系統管理中心>身分識別>監視與健康>情況 Log Analytics 中找到 Log Analytics 的存取權。 下表對 Identity Protection 系統管理員最感興趣:
- AADRiskyUsers - 提供身分識別保護中具風險的使用者報告等數據。
- AADUserRiskEvents - 提供身分識別保護中風險偵測報告之類的數據。
- RiskyServicePrincipals - 提供 Identity Protection 中具風險工作負載身分識別報告等數據。
- ServicePrincipalRiskEvents - 提供數據, 例如 Identity Protection 中的工作負載身分識別偵測 報告。
在上一個影像中,執行下列查詢以顯示最近觸發的五個風險偵測。
AADUserRiskEvents
| take 5
另一個選項是查詢 AADRiskyUsers 數據表,以查看所有有風險的使用者。
AADRiskyUsers
注意
Log Analytics 只會在串流處理數據時檢視數據。 啟用從 Microsoft Entra ID 傳送事件之前的事件不會出現。
儲存體帳戶
藉由將記錄路由傳送至 Azure 記憶體帳戶,您可以將它保留的時間超過預設保留期限。 如需詳細資訊,請參閱教學課程:將 Microsoft Entra 記錄封存至 Azure 記憶體帳戶一文。
Azure 事件中樞
Azure 事件中樞 可以查看來自 Microsoft Entra ID Protection 等來源的傳入數據,並提供即時分析和相互關聯。 如需詳細資訊,請參閱教學課程:將 Microsoft Entra 記錄串流至 Azure 事件中樞一文
其他選項
組織可以選擇將 Microsoft Entra 數據連線到 Microsoft Sentinel ,以便進一步處理。
組織可以使用 Microsoft Graph API,以程式設計方式與風險事件互動。