Como: exportar dados de risco

O Microsoft Entra ID armazena relatórios e sinais de segurança por um período de tempo definido. Quando se trata de informações de risco, esse período pode não ser longo o suficiente.

Relatório/sinal Microsoft Entra ID Gratuito Microsoft Entra ID P1 Microsoft Entra ID P2
Logs de auditoria 7 dias 30 dias 30 dias
Entradas 7 dias 30 dias 30 dias
Uso da autenticação multifator do Microsoft Entra 30 dias 30 dias 30 dias
Entradas de risco 7 dias 30 dias 30 dias

As organizações podem optar por armazenar dados por períodos mais longos alterando as configurações de diagnóstico no Microsoft Entra ID para enviar dados RiskyUsers, UserRiskEvents, RiskyServicePrincipals, e ServicePrincipalRiskEvents para um workspace do Log Analytics, arquivar dados em uma conta de armazenamento, transmiti-los para um hub de eventos ou enviá-los para uma solução de parceiro. Encontre essas opções no Centro de administração do Microsoft Entra>Identidade>Monitoramento e integridade>Configurações de diagnóstico>Editar configuração. Se você não tiver uma configuração de diagnóstico, siga as instruções no artigo Criar configurações de diagnóstico para enviar logs e métricas de plataforma para destinos diferentes para criar uma.

Tela de configurações de diagnóstico no Microsoft Entra ID mostrando a configuração existente

Log Analytics

O Log Analytics permite que as organizações consultem dados usando consultas internas ou consultas Kusto criadas personalizadas, para obter mais informações, consulte Introdução às consultas de log no Azure Monitor.

Uma vez ativado, você encontra acesso ao Log Analytics no centro de administração do Microsoft Entra>Identidade>Monitoramento e identidade>Log Analytics. As tabelas a seguir são de maior interesse para os administradores do Identity Protection:

  • AADRiskyUsers - fornece dados como o relatório de usuários arriscados na proteção de identidade.
  • AADRiskyUsers - fornece dados como o relatório de detecções de risco na proteção de identidade.
  • RiskyServicePrincipals – fornece dados como o relatório deIdentidades de carga de trabalho arriscadas no Identity Protection.
  • ServicePrincipalRiskEvents – fornece dados como o relatório de detecções de identidade da carga de trabalho no Identity Protection.

Observação

O Log Analytics tem visibilidade apenas dos dados conforme eles são transmitidos. Os eventos anteriores à habilitação do envio de eventos do Microsoft Entra ID não são exibidos.

Consultas de exemplo

Exibição do Log Analytics que mostra uma consulta na tabela AADUserRiskEvents mostrando os 5 principais eventos

Na imagem anterior, a consulta em questão foi executada para mostrar as cinco detecções de risco mais recentes disparadas.

AADUserRiskEvents
| take 5

Outra opção é consultar a tabela AADRiskyUsers para ver todos os usuários arriscados.

AADRiskyUsers

Exibir a contagem de usuários de alto risco por dia:

AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)

Exiba detalhes úteis de investigação, como a cadeia de caracteres do agente do usuário, para detecções de alto risco que não foram corrigidas ou ignoradas:

AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId

Acesse mais consultas e insights visuais com base nos logs de Usuários AADUserRiskEvents e AADRisky na pasta de trabalho Análise de impacto das políticas de acesso baseadas em risco.

Conta de armazenamento

Ao rotear os logs para uma conta de Armazenamento do Azure, você pode mantê-los por um tempo maior que o período de retenção padrão. Para obter mais informações, consulte o artigo Tutorial: Arquivar logs do Microsoft Entra em uma conta de armazenamento do Azure.

Hubs de eventos do Azure

Os Hubs de Eventos do Azure podem examinar dados de entrada de fontes como Microsoft Entra ID Protection e fornecer análise e correlação em tempo real. Para obter mais informações, consulte o artigo Tutorial: Transmitir os logs do Microsoft Entra para um hub de eventos do Azure.

Outras opções

As organizações podem optar por conectar os dados do Microsoft Entra ao Microsoft Sentinel também para processamento adicional.

As organizações podem usar a API do Microsoft Graph para interagir de forma programática com eventos de risco.

Próximas etapas