Nasıl yapılır: Risk verilerini dışarı aktarma
Microsoft Entra Id, raporları ve güvenlik sinyallerini belirli bir süre boyunca depolar. Risk bilgileri söz konusu olduğunda bu süre yeterince uzun olmayabilir.
| Rapor / Sinyal | Microsoft Entra ID Ücretsiz | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| Denetim günlükleri | 7 gün | 30 gün | 30 gün |
| Oturum açma işlemleri | 7 gün | 30 gün | 30 gün |
| Microsoft Entra çok faktörlü kimlik doğrulaması kullanımı | 30 gün | 30 gün | 30 gün |
| Riskli oturum açma işlemleri | 7 gün | 30 gün | 30 gün |
Kuruluşlar RiskyUsers, UserRiskEvents, RiskyServicePrincipals ve ServicePrincipalRiskEvents verilerini Log Analytics çalışma alanına göndermek, verileri depolama hesabına arşivle, bir olay hub'ına veri akışı yapmak veya iş ortağı çözümüne veri göndermek için Microsoft Entra Id'deki tanılama ayarlarını değiştirerek verileri daha uzun süreler boyunca depolamayı seçebilir. Bu seçenekleri Microsoft Entra yönetim merkezi>Kimlik>İzleme ve sistem durumu>Tanılama ayarları>Düzenle ayarında bulabilirsiniz. Tanılama ayarınız yoksa, platform günlüklerini ve ölçümlerini oluşturmak üzere farklı hedeflere göndermek için tanılama ayarları oluşturma makalesindeki yönergeleri izleyin.
Log Analytics
Log Analytics, kuruluşların yerleşik sorguları veya özel oluşturulmuş Kusto sorgularını kullanarak verileri sorgulamasına olanak tanır. Daha fazla bilgi için bkz . Azure İzleyici'de günlük sorgularını kullanmaya başlama.
Etkinleştirildikten sonra, Microsoft Entra yönetim merkezi>Kimlik>İzleme ve sistem durumu>Log Analytics'te Log Analytics'e erişim bulabilirsiniz. Aşağıdaki tablolar en çok Microsoft Entra Kimlik Koruması yöneticileri ilgi çekicidir:
- AADRiskyUsers - Riskli kullanıcılar raporu gibi veriler sağlar.
- AADUserRiskEvents - Risk algılamaları raporu gibi veriler sağlar.
- RiskyServicePrincipals - Riskli iş yükü kimlikleri raporu gibi veriler sağlar.
- ServicePrincipalRiskEvents - İş yükü kimlik algılamaları raporu gibi veriler sağlar.
Not
Log Analytics yalnızca akışla aktarıldığında verilere görünürlük sağlar. Microsoft Entra Id'den olay göndermeyi etkinleştirmeden önceki olaylar görünmez.
Örnek sorgular
Önceki görüntüde, tetiklenen en son beş risk algılamasını göstermek için aşağıdaki sorgu çalıştırıldı.
AADUserRiskEvents
| take 5
Diğer bir seçenek de tüm riskli kullanıcıları görmek için AADRiskyUsers tablosunu sorgulamaktır.
AADRiskyUsers
Güne göre yüksek riskli kullanıcıların sayısını görüntüleyin:
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
Yüksek riskli ve düzeltilmemiş veya kapatılmamış algılamalar için kullanıcı aracısı dizesi gibi yararlı araştırma ayrıntılarını görüntüleyin:
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
Risk tabanlı erişim ilkelerinin etki analizi çalışma kitabında AADUserRiskEvents ve AADRisky Kullanıcıları günlüklerine göre daha fazla sorguya ve görsel içgörüye erişin.
Depolama hesabı
Günlükleri bir Azure depolama hesabına yönlendirerek, varsayılan saklama süresinden daha uzun süre saklayabilirsiniz. Daha fazla bilgi için Öğretici: Microsoft Entra günlüklerini azure depolama hesabına arşivle makalesine bakın.
Azure Event Hubs
Azure Event Hubs, Microsoft Entra Kimlik Koruması gibi kaynaklardan gelen verilere bakabilir ve gerçek zamanlı analiz ile bağıntı sağlayabilir. Daha fazla bilgi için Öğretici: Microsoft Entra günlüklerini Azure olay hub'ına akışla aktarma makalesine bakın.
Diğer seçenekler
Kuruluşlar, daha fazla işlem için Microsoft Entra verilerini Microsoft Sentinel'e bağlamayı seçebilir.
Kuruluşlar, risk olaylarıyla program aracılığıyla etkileşime geçmek için Microsoft Graph API'sini kullanabilir.