Comment : exporter les données liées aux risques

Microsoft Entra ID stocke les rapports et les signaux de sécurité pendant un laps de temps défini. Lorsqu’il s’agit d’informations sur les risques, ce laps de temps pourrait ne pas suffire.

Rapport/Signal Microsoft Entra ID Gratuit Microsoft Entra ID P1 Microsoft Entra ID P2
Journaux d’audit 7 jours 30 jours 30 jours
Connexions 7 jours 30 jours 30 jours
Utilisation de l’authentification multifacteur Microsoft Entra 30 jours 30 jours 30 jours
Connexions risquées 7 jours 30 jours 30 jours

Les organisations peuvent choisir de stocker des données pour des périodes plus longues en modifiant les paramètres de diagnostic dans Microsoft Entra ID, de manière à envoyer les données RiskyUsers, UserRiskEvents, RiskyServicePrincipals et ServicePrincipalRiskEvents à un espace de travail Log Analytics, archiver des données dans un compte de stockage, diffuser les données en continu vers un hub d’événements ou envoyer des données à une solution partenaire. Trouvez ces options dans Centre d’administration Microsoft Entra>Identité>Surveillance et intégrité>Paramètres de diagnostic>Modifier les paramètres. Si vous n’avez pas de paramètre de diagnostic, suivez les instructions de l’article Créer des paramètres de diagnostic pour envoyer des journaux et des métriques de plateforme à différentes destinations pour en créer un.

Écran des paramètres de diagnostic dans Microsoft Entra ID montrant la configuration existante

Log Analytics

Log Analytics permet aux organisations d’interroger des données à l’aide de requêtes intégrées ou de requêtes Kusto personnalisées. Pour plus d’informations, consultez Bien démarrer avec les requêtes de journal dans Azure Monitor.

Une fois activé, vous trouverez l’accès à Log Analytics dans le Centre d’administration Microsoft Entra>Identité>Surveillance et intégrité >Log Analytics. Les tableaux suivants sont particulièrement intéressants pour les administrateurs de Protection des ID Microsoft Entra :

  • AADRiskyUsers : fournit des données comme le rapport sur les utilisateurs à risque.
  • AADUserRiskEvents : fournit des données comme le rapport sur les Détections de risques.
  • RiskyServicePrincipals : fournit des données comme le rapport sur les Identités de charge de travail risquées.
  • ServicePrincipalRiskEvents : fournit des données comme le rapport sur les Détections d’identité de charge de travail.

Remarque

Log Analytics n’a une visibilité sur les données que lorsque celles-ci sont diffusées en continu. Les événements antérieurs à l’activation de l’envoi d’événements à partir de Microsoft Entra ID n’apparaissent pas.

Exemples de requêtes

Vue de Log Analytics montrant une requête exécutée sur la table AADUserRiskEvents où apparaissent les 5 premiers événements

Dans l’image précédente, la requête suivante a été exécutée pour montrer les cinq détections de risques les plus récentes.

AADUserRiskEvents
| take 5

Une autre option consiste à interroger la table AADRiskyUsers pour voir tous les utilisateurs à risque.

AADRiskyUsers

Visualiser le nombre d’utilisateurs à haut risque par jour :

AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)

Affichez les détails d’examen utiles, comme la chaîne de l’agent utilisateur, pour les détections présentant un risque élevé et qui ne sont pas corrigées ou ignorées :

AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId

Accédez à d’autres requêtes et insights visuels basés sur AADUserRiskEvents et les journaux utilisateurs AADRisky dans l’Analyse d’impact du classeur des stratégies d’accès basées sur les risques.

Compte de stockage

Si vous routez les journaux vers un compte de stockage Azure, vous pouvez les conserver plus longtemps que la période de rétention par défaut. Pour plus d’informations, consultez l’article Tutoriel : Archiver des journaux Microsoft Entra sur un compte de stockage Azure.

Azure Event Hubs

Azure Event Hubs peut examiner les données entrantes provenant de sources comme Protection des ID Microsoft Entra, et fournir une analyse et une corrélation en temps réel. Pour plus d’informations, consultez cet article Didacticiel : diffuser les journaux d’activité Microsoft Entra vers un Azure Event Hub.

Autres options

Les organisations peuvent également choisir de connecter les données Microsoft Entra à Microsoft Sentinel pour un traitement approfondi.

Les organisations peuvent utiliser l’API Microsoft Graph pour interagir par programme avec les événements à risque.

Étapes suivantes