Delen via


Procedure: risicogegevens exporteren

Microsoft Entra ID slaat rapporten en beveiligingssignalen op gedurende een gedefinieerde periode. Als het gaat om risicogegevens, is die periode mogelijk niet lang genoeg.

Rapport / signaal Microsoft Entra ID Free Microsoft Entra ID P1 Microsoft Entra ID P2
Auditlogboeken 7 dagen 30 dagen 30 dagen
Aanmeldingen 7 dagen 30 dagen 30 dagen
Gebruik van meervoudige verificatie voor Microsoft Entra 30 dagen 30 dagen 30 dagen
Riskante aanmeldingen 7 dagen 30 dagen 30 dagen

In dit artikel worden de beschikbare methoden beschreven voor het exporteren van risicogegevens van Microsoft Entra ID Protection voor langetermijnopslag en -analyse.

Vereisten

Als u risicogegevens voor opslag en analyse wilt exporteren, hebt u het volgende nodig:

  • Een Azure-abonnement om een Log Analytics-werkruimte, Azure Event Hub of Een Azure-opslagaccount te maken. Als u nog geen Azure-abonnement hebt, kunt u zich registreren voor een gratis proefversie.
  • Beveiligingsbeheerder toegang tot het maken van algemene diagnostische instellingen voor de Microsoft Entra-tenant.

Diagnostische instellingen

Organisaties kunnen ervoor kiezen om RiskyUsers, UserRiskEvents, RiskyServicePrincipals en ServicePrincipalRiskEvents-gegevens op te slaan of te exporteren door diagnostische instellingen in Microsoft Entra-id te configureren om de gegevens te exporteren. U kunt de gegevens integreren met een Log Analytics-werkruimte, gegevens archiveren in een opslagaccount, gegevens streamen naar een Event Hub of gegevens verzenden naar een partneroplossing.

Het eindpunt dat u selecteert voor het exporteren van de logboeken, moet worden ingesteld voordat u diagnostische instellingen kunt configureren. Zie Activiteitenlogboeken openen in Microsoft Entra-id voor een beknopt overzicht van de methoden die beschikbaar zijn voor logboekopslag en -analyse.

  1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar diagnostische instellingen voor identiteitsbewaking>en status>.

  3. Selecteer + Diagnostische instelling toevoegen.

  4. Voer de naam van een diagnostische instelling in, selecteer de logboekcategorieƫn die u wilt streamen, selecteer een eerder geconfigureerde bestemming en selecteer Opslaan.

Schermopname van het scherm diagnostische instellingen in Microsoft Entra ID.

Mogelijk moet u ongeveer 15 minuten wachten totdat de gegevens worden weergegeven in de bestemming die u hebt geselecteerd. Zie Diagnostische instellingen van Microsoft Entra configureren voor meer informatie.

Log Analytics

Het integreren van risicogegevens met Log Analytics biedt robuuste mogelijkheden voor gegevensanalyse en visualisatie. Het proces op hoog niveau voor het gebruik van Log Analytics voor het analyseren van risicogegevens is als volgt:

  1. Maak een Log Analytics-werkruimte.
  2. Configureer diagnostische instellingen van Microsoft Entra om de gegevens te exporteren.
  3. Voer een query uit op de gegevens in Log Analytics.

U moet een Log Analytics-werkruimte configureren voordat u de gegevens kunt exporteren en er vervolgens query's op kunt uitvoeren. Nadat u een Log Analytics-werkruimte hebt geconfigureerd en de gegevens hebt geƫxporteerd met diagnostische instellingen, gaat u naar het Microsoft Entra-beheercentrum>Identity>Monitoring & Health>Log Analytics. Vervolgens kunt u met Log Analytics query's uitvoeren op gegevens met behulp van ingebouwde of aangepaste Kusto-query's.

De volgende tabellen zijn van belang voor Beheerders van Microsoft Entra ID Protection:

  • RiskyUsers: biedt gegevens zoals het rapport Riskante gebruikers .
  • UserRiskEvents : biedt gegevens zoals het rapport Risicodetecties .
  • RiskyServicePrincipals : biedt gegevens zoals het rapport Riskante workloadidentiteiten .
  • ServicePrincipalRiskEvents : biedt gegevens zoals het rapport over detectie van workloadidentiteiten .

Notitie

Log Analytics heeft alleen inzicht in gegevens terwijl ze worden gestreamd. Gebeurtenissen voordat het verzenden van gebeurtenissen vanuit Microsoft Entra-id wordt ingeschakeld, worden niet weergegeven.

Voorbeeldquery's

Schermopname van de Log Analytics-weergave met een AADUserRiskEvents-query voor de top 5 gebeurtenissen.

In de vorige afbeelding is de volgende query uitgevoerd om de meest recente vijf risicodetecties weer te geven die zijn geactiveerd.

AADUserRiskEvents
| take 5

Een andere optie is om een query uit te voeren op de tabel AADRiskyUsers om alle riskante gebruikers te weer te geven.

AADRiskyUsers

Het aantal gebruikers met een hoog risico per dag weergeven:

AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)

Bekijk nuttige onderzoeksdetails, zoals tekenreeks van de gebruikersagent, voor detecties die een hoog risico lopen en die niet worden hersteld of gesloten:

AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId

Krijg toegang tot meer query's en visuele inzichten op basis van AADUserRiskEvents en AADRisky-gebruikerslogboeken in de werkmap Impactanalyse van op risico's gebaseerd toegangsbeleid.

Opslagaccount

Door logboeken naar een Azure-opslagaccount te routeren, kunt u gegevens langer bewaren dan de standaardretentieperiode.

  1. Maak een Azure-opslagaccount.
  2. Microsoft Entra-logboeken archiveren naar een opslagaccount.

Azure Event Hubs

Azure Event Hubs kan inkomende gegevens bekijken uit bronnen zoals Microsoft Entra ID Protection en realtime analyse en correlatie bieden.

  1. Een Azure Event Hub maken.
  2. Stream Microsoft Entra-logboeken naar een Event Hub.

Microsoft Sentinel

Organisaties kunnen ervoor kiezen om Microsoft Entra-gegevens te verbinden met Microsoft Sentinel voor beveiligingsinformatie en gebeurtenisbeheer (SIEM) en beveiligingsindeling, automatisering en reactie (SOAR).

  1. Maak een Log Analytics-werkruimte.
  2. Configureer diagnostische instellingen van Microsoft Entra om de gegevens te exporteren.
  3. Gegevensbronnen verbinden met Microsoft Sentinel.