Anleitung: Exportieren von Risikodaten

Microsoft Entra ID speichert Berichte und Sicherheitssignale für einen definierten Zeitraum. Wenn es um Risikoinformationen geht, ist dieser Zeitraum möglicherweise nicht lang genug.

Bericht/Signal Microsoft Entra ID Free Microsoft Entra ID P1 Microsoft Entra ID P2
Überwachungsprotokolle 7 Tage 30 Tage 30 Tage
Anmeldungen 7 Tage 30 Tage 30 Tage
Verwendung der Multi-Faktor-Authentifizierung von Microsoft Entra 30 Tage 30 Tage 30 Tage
Riskante Anmeldungen 7 Tage 30 Tage 30 Tage

Organisationen können Daten für längere Zeiträume speichern, indem sie die Diagnoseeinstellungen in Microsoft Entra ID so ändern, dass RiskyUsers- UserRiskEvents-, RiskyServicePrincipals- und ServicePrincipalRiskEvents-Daten an einen Log Analytics-Arbeitsbereich gesendet, Daten in einem Speicherkonto archiviert, Daten an einen Event Hub gestreamt oder Daten an eine Partnerlösung gesendet werden. Suchen Sie diese Optionen im Microsoft Entra Admin Center>Identität>Überwachung Integrität>Diagnoseinstellungen>Einstellungen bearbeiten. Wenn Sie keine Diagnoseeinstellung haben, befolgen Sie die Anweisungen im Artikel zum Erstellen von Diagnoseeinstellungen, um Plattformprotokolle und Metriken an verschiedene Ziele zu senden, um eine zu erstellen.

Bildschirm „Diagnoseeinstellungen“ in Microsoft Entra ID mit der bestehenden Konfiguration

Log Analytics

Log Analytics ermöglicht Organisationen das Abfragen von Daten mit vordefinierten Abfragen oder benutzerdefinierten erstellten Kusto-Abfragen. Weitere Informationen finden Sie unter Erste Schritte mit Protokollabfragen in Azure Monitor.

Nach der Aktivierung erhalten Sie unter Microsoft Entra Admin Center>Identität>Überwachung und Integrität>Log Analytics Zugriff auf Log Analytics. Die folgenden Tabellen sind für Microsoft Entra ID Protection-Administratoren am wichtigsten:

  • AADRiskyUsers: Stellt Daten wie den Bericht Riskante Benutzer zur Verfügung.
  • AADUserRiskEvents: Stellt Daten wie den Bericht Risikoerkennungen zur Verfügung.
  • RiskyServicePrincipals: Stellt Daten wie den Bericht Riskante Workloadidentitäten zur Verfügung.
  • ServicePrincipalRiskEvents: Stellt Daten wie den Bericht Workloadidentitätserkennungen zur Verfügung.

Hinweis

Log Analytics hat nur Einblick in Daten, während sie gestreamt werden. Ereignisse vor dem Aktivieren des Ereignisversands von Microsoft Entra ID werden nicht angezeigt.

Beispielabfragen

Log Analytics-Ansicht mit einer Abfrage der Tabelle „AADUserRiskEvents“ und den fünf wichtigsten Ereignissen

In der obigen Abbildung wurde die folgende Abfrage ausgeführt, um die letzten fünf ausgelösten Risikoerkennungen anzuzeigen.

AADUserRiskEvents
| take 5

Eine weitere Möglichkeit besteht in der Abfrage der Tabelle „AADRiskyUsers“, um alle riskanten Benutzer anzuzeigen.

AADRiskyUsers

Anzeigen der Anzahl von Benutzenden mit hohem Risiko nach Tag:

AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)

Anzeigen hilfreicher Untersuchungsdetails, z. B. der Benutzer-Agent-Zeichenfolge, für Erkennungen mit hohem Risiko, die nicht behoben oder abgeschlossen wurden:

AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId

Weitere Informationen zu weiteren Abfragen und visuellen Erkenntnissen, die auf den Protokollen AADUserRiskEvents und AADRiskyUsers basieren, finden Sie in der Arbeitsmappe mit einer Auswirkungsanalyse risikobasierter Zugriffsrichtlinien.

Speicherkonto

Wenn Sie Protokolle an ein Azure-Speicherkonto weiterleiten, können Sie sie länger aufbewahren als die Standardaufbewahrungsdauer vorgibt. Weitere Informationen finden Sie im Tutorial: Archivieren von Microsoft Entra-Protokollen in einem Azure Storage-Konto.

Azure Event Hubs

Azure Event Hubs können eingehende Daten aus Quellen wie Microsoft Entra ID Protection anzeigen sowie Echtzeitanalyse und Korrelation bereitstellen. Weitere Informationen finden Sie im Tutorial: Streamen von Microsoft Entra-Protokollen an Azure Event Hubs.

Weitere Optionen

Organisationen können auch Microsoft Entra-Daten zur weiteren Verarbeitung mit Microsoft Sentinel verbinden.

Organisationen können die Microsoft Graph-API verwenden, um programmgesteuert mit Risikoereignissen zu interagieren.

Nächste Schritte