Практическое руководство. Экспорт данных риска
Идентификатор Microsoft Entra хранит отчеты и сигналы безопасности в течение определенного периода времени. Когда дело доходит до сведений о рисках, что период может быть недостаточно длинным.
| Отчет / сигнал | Бесплатный идентификатор Microsoft Entra | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| Журналы аудита | 7 дней | 30 дней | 30 дней |
| Входы | 7 дней | 30 дней | 30 дней |
| Использование многофакторной проверки подлинности Microsoft Entra | 30 дней | 30 дней | 30 дней |
| Рискованные входы | 7 дней | 30 дней | 30 дней |
Организации могут хранить данные в течение более длительных периодов, изменяя параметры диагностики в идентификаторе Microsoft Entra, чтобы отправлять данные RiskyUsers, UserRiskEvents, RiskyServicePrincipal и ServicePrincipalRiskEvents в рабочую область Log Analytics, архивировать данные в учетную запись хранения, передавать данные в концентратор событий или отправлять данные в партнерское решение. Найдите эти параметры в параметре "Мониторинг удостоверений Центра>администрирования Майкрософт" и "Параметры диагностики>работоспособности".>> Если у вас нет параметра диагностики, следуйте инструкциям в статье "Создание параметров диагностики" для отправки журналов и метрик платформы в разные места назначения для создания.
Log Analytics
Log Analytics позволяет организациям запрашивать данные с помощью встроенных запросов или пользовательских созданных запросов Kusto, дополнительные сведения см. в статье "Начало работы с запросами журналов в Azure Monitor".
После включения вы найдете доступ к Log Analytics в Центре>администрирования Microsoft Entra Identity>Monitoring и health>Log Analytics. Следующие таблицы наиболее интересны для Защита идентификации Microsoft Entra администраторов.
- AADRiskyUsers — предоставляет данные, такие как отчет о рискованных пользователях .
- AADUserRiskEvents — предоставляет данные, такие как отчет об обнаружении рисков.
- RiskyServicePrincipals — предоставляет данные, такие как отчет о удостоверениях рабочей нагрузки risky.
- ServicePrincipalRiskEvents — предоставляет такие данные, как отчет об обнаружении удостоверений рабочей нагрузки .
Заметка
Log Analytics имеет только видимость данных по мере потоковой передачи. События до включения отправки событий из идентификатора Microsoft Entra не отображаются.
Примеры запросов
На предыдущем изображении выполняется следующий запрос, чтобы отобразить последние пять обнаруженных рисков.
AADUserRiskEvents
| take 5
Другой вариант — запросить таблицу AADRiskyUsers, чтобы просмотреть всех рискованных пользователей.
AADRiskyUsers
Просмотрите количество пользователей с высоким риском по дням:
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
Просмотрите полезные сведения о расследовании, например строку агента пользователя, для обнаружения, которые являются высоким риском и не исправляются или не удаляются:
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
Доступ к дополнительным запросам и визуальной аналитике на основе журналов AADUserRiskEvents и AADRisky Users в анализе влияния книги политик доступа на основе рисков.
Учетная запись хранения
Путем маршрутизации журналов в учетную запись хранения Azure его можно сохранить дольше, чем срок хранения по умолчанию. Дополнительные сведения см. в руководстве по архиву журналов Microsoft Entra в учетной записи хранения Azure.
Центры событий Azure
Центры событий Azure могут просматривать входящие данные из источников, таких как Защита идентификации Microsoft Entra, и предоставлять анализ и корреляцию в режиме реального времени. Дополнительные сведения см. в руководстве по потоковой передаче журналов Microsoft Entra в концентратор событий Azure.
Другие параметры
Организации могут подключать данные Microsoft Entra к Microsoft Sentinel , а также для дальнейшей обработки.
Организации могут использовать API Microsoft Graph для программного взаимодействия с событиями риска.
Дальнейшие действия
- Что такое мониторинг Microsoft Entra?
- Установка и использование представлений log analytics для идентификатора Microsoft Entra
- Подключение данных из Защита идентификации Microsoft Entra
- Защита идентификации Microsoft Entra и пакет SDK Для Microsoft Graph PowerShell
- Руководство. Потоковая передача журналов Microsoft Entra в концентратор событий Azure