Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Entra ID przechowuje raporty i sygnały zabezpieczeń przez określony okres czasu. Jeśli chodzi o informacje o ryzyku, ten okres może nie być wystarczająco długi.
| Raport/sygnał | Microsoft Entra ID Bezpłatny | Tożsamość Microsoft Entra P1 | Tożsamość Microsoft Entra P2 |
|---|---|---|---|
| Dzienniki inspekcji | 7 dni | 30 dni | 30 dni |
| Logowania | 7 dni | 30 dni | 30 dni |
| Użycie uwierzytelniania wieloskładnikowego Microsoft Entra | 30 dni | 30 dni | 30 dni |
| Ryzykowne logowania | 7 dni | 30 dni | 30 dni |
W tym artykule opisano dostępne metody eksportowania danych dotyczących ryzyka z Microsoft Entra ID Protection na potrzeby długoterminowego przechowywania i analizy.
Wymagania wstępne
Aby wyeksportować dane o ryzyku na potrzeby magazynu i analizy, potrzebne są następujące elementy:
- Subskrypcja platformy Azure do tworzenia obszaru roboczego usługi Log Analytics, centrum zdarzeń platformy Azure lub konta usługi Azure Storage. Jeśli nie masz subskrypcji platformy Azure, możesz skorzystać z bezpłatnej wersji próbnej.
- Rola Administrator bezpieczeństwa jest najmniej uprzywilejowaną rolą wymaganą do konfigurowania ustawień diagnostycznych dla dzierżawy Microsoft Entra.
Ustawienia diagnostyczne
Organizacje mogą przechowywać lub eksportować dane RiskyUsers, UserRiskEvents, RiskyServicePrincipals i ServicePrincipalRiskEvents, konfigurując ustawienia diagnostyczne w usłudze Microsoft Entra ID. Dane można zintegrować z obszarem roboczym usługi Log Analytics, archiwizować dane na koncie magazynu, przesyłać strumieniowo dane do centrum zdarzeń lub wysyłać dane do rozwiązania partnerskiego.
Punkt końcowy wybrany do eksportowania dzienników musi zostać skonfigurowany przed skonfigurowaniem ustawień diagnostycznych. Aby uzyskać krótkie podsumowanie metod dostępnych dla magazynu dzienników i analizy, zobacz Jak uzyskać dostęp do dzienników aktywności w usłudze Microsoft Entra ID.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do Entra ID>monitorowania i kondycji>ustawień diagnostycznych.
Wybierz pozycję + Dodaj ustawienie diagnostyczne.
Wprowadź nazwę ustawienia diagnostycznego, wybierz kategorie dzienników, które chcesz przesłać strumieniowo, wybierz wcześniej skonfigurowane miejsce docelowe i wybierz pozycję Zapisz.
Może być konieczne odczekanie około 15 minut na rozpoczęcie wyświetlania danych w wybranym miejscu docelowym. Aby uzyskać więcej informacji, zobacz How to configure Microsoft Entra diagnostic settings (Jak skonfigurować ustawienia diagnostyczne firmy Microsoft Entra).
Analiza dzienników
Integrowanie danych o podwyższonym ryzyku z usługą Log Analytics zapewnia niezawodne możliwości analizy danych i wizualizacji. Ogólny proces używania usługi Log Analytics do analizowania danych o podwyższonym ryzyku jest następujący:
- Utwórz obszar roboczy usługi Log Analytics.
- Skonfiguruj ustawienia diagnostyczne firmy Microsoft Entra w celu wyeksportowania danych.
- Wykonywanie zapytań dotyczących danych w usłudze Log Analytics.
Musisz skonfigurować obszar roboczy usługi Log Analytics przed wyeksportowanie i wykonanie zapytania o dane. Po skonfigurowaniu obszaru roboczego Log Analytics i wyeksportowaniu danych za pomocą ustawień diagnostycznych, przejdź do centrum administracyjnego Microsoft Entra>Entra ID>>. Następnie za pomocą usługi Log Analytics można wykonywać zapytania dotyczące danych przy użyciu wbudowanych lub niestandardowych zapytań Kusto.
Następujące tabele są najbardziej interesujące dla administratorów Microsoft Entra ID Protection:
- RiskyUsers — udostępnia dane, takie jak raport Ryzykowni użytkownicy .
- UserRiskEvents — udostępnia dane, takie jak raport Wykrywanie ryzyka.
- RiskyServicePrincipals — udostępnia dane, takie jak raport Dotyczący tożsamości obciążeń ryzykownych .
- ServicePrincipalRiskEvents — udostępnia dane, takie jak w raporcie Wykrywania tożsamości obciążenia.
Uwaga
Usługa Log Analytics ma wgląd tylko w dane przesyłane strumieniowo. Zdarzenia przed włączeniem wysyłania zdarzeń z identyfikatora Entra firmy Microsoft nie są wyświetlane.
Przykładowe zapytania
Na poprzedniej ilustracji uruchomiono następujące zapytanie, aby wyświetlić pięć najnowszych wykryć ryzyka, które zostały wyzwolone.
AADUserRiskEvents
| take 5
Inną opcją jest wysłanie zapytania do tabeli AADRiskyUsers, aby zobaczyć wszystkich ryzykownych użytkowników.
AADRiskyUsers
Wyświetl liczbę użytkowników wysokiego ryzyka według dnia:
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
Wyświetl przydatne szczegóły badania, takie jak ciąg agenta użytkownika, dla wykryć o wysokim ryzyku, które nie zostały skorygowane ani odrzucone.
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
Uzyskaj dostęp do większej liczby zapytań i szczegółowych informacji wizualnych na podstawie dzienników AADUserRiskEvents i AADRisky Users w skoroszycie Wpływ zasad dostępu opartych na ryzyku.
Analiza ryzyka
Organizacje mogą zmniejszyć obciążenia centrum operacji zabezpieczeń (SOC) i koszty operacyjne przy użyciu zasad dostępu warunkowego opartych na ryzyku. Dowiedz się więcej w poniższym filmie wideo Mastering risk analysis with Microsoft Entra ID Protection (Opanowanie analizy ryzyka za pomocą usługi Microsoft Entra ID Protection).
Konto magazynu
Po routingu dzienników do konta usługi Azure Storage można przechowywać dane dłużej niż domyślny okres przechowywania.
- Utwórz konto usługi Azure Storage.
- Archiwizowanie dzienników firmy Microsoft w usłudze Microsoft Entra na koncie magazynu.
Azure Event Hubs
Usługa Azure Event Hubs może przeglądać dane przychodzące ze źródeł, takich jak Ochrona tożsamości Microsoft Entra i zapewniać analizę i korelację w czasie rzeczywistym.
- Utwórz centrum zdarzeń Azure.
- Przesyłanie strumieniowe dzienników usługi Microsoft Entra do centra zdarzeń.
Microsoft Sentinel
Organizacje mogą łączyć dane firmy Microsoft Entra z usługą Microsoft Sentinel w celu zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacji zabezpieczeń, automatyzacji i odpowiedzi (SOAR).
- Utwórz obszar roboczy usługi Log Analytics.
- Skonfiguruj ustawienia diagnostyczne firmy Microsoft Entra w celu wyeksportowania danych.
- Łączenie źródeł danych z usługą Microsoft Sentinel.