Udostępnij za pośrednictwem

Instrukcje: eksportowanie danych dotyczących ryzyka

  • Artykuł

Microsoft Entra ID przechowuje raporty i sygnały zabezpieczeń przez określony okres czasu. Jeśli chodzi o informacje o ryzyku, ten okres może nie być wystarczająco długi.

Raport/sygnał Microsoft Entra ID Free Microsoft Entra ID P1 Microsoft Entra ID P2
Dzienniki inspekcji 7 dni 30 dni 30 dni
Logowania 7 dni 30 dni 30 dni
Użycie uwierzytelniania wieloskładnikowego Microsoft Entra 30 dni 30 dni 30 dni
Ryzykowne logowania 7 dni 30 dni 30 dni

W tym artykule opisano dostępne metody eksportowania danych o podwyższonym ryzyku z Ochrona tożsamości Microsoft Entra na potrzeby długoterminowego przechowywania i analizy.

Wymagania wstępne

Aby wyeksportować dane o ryzyku na potrzeby magazynu i analizy, potrzebne są następujące elementy:

  • Subskrypcja platformy Azure do tworzenia obszaru roboczego usługi Log Analytics, centrum zdarzeń platformy Azure lub konta usługi Azure Storage. Jeśli nie masz subskrypcji platformy Azure, możesz skorzystać z bezpłatnej wersji próbnej.
  • Dostęp administratora zabezpieczeń w celu utworzenia ogólnych ustawień diagnostycznych dla dzierżawy firmy Microsoft Entra.

Ustawienia diagnostyczne

Organizacje mogą przechowywać lub eksportować dane RiskyUsers, UserRiskEvents, RiskyServicePrincipals i ServicePrincipalRiskEvents, konfigurując ustawienia diagnostyczne w identyfikatorze Entra firmy Microsoft w celu wyeksportowania danych. Dane można zintegrować z obszarem roboczym usługi Log Analytics, archiwizować dane na koncie magazynu, przesyłać strumieniowo dane do centrum zdarzeń lub wysyłać dane do rozwiązania partnerskiego.

Punkt końcowy wybrany do eksportowania dzienników musi zostać skonfigurowany przed skonfigurowaniem ustawień diagnostycznych. Aby uzyskać krótkie podsumowanie metod dostępnych dla magazynu dzienników i analizy, zobacz Jak uzyskać dostęp do dzienników aktywności w usłudze Microsoft Entra ID.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

  2. Przejdź do pozycji Ustawienia>diagnostyczne monitorowania tożsamości i kondycji.>

  3. Wybierz pozycję + Dodaj ustawienie diagnostyczne.

  4. Wprowadź nazwę ustawienia diagnostycznego, wybierz kategorie dzienników, które chcesz przesłać strumieniowo, wybierz wcześniej skonfigurowane miejsce docelowe i wybierz pozycję Zapisz.

Zrzut ekranu przedstawiający ekran ustawień diagnostycznych w identyfikatorze Entra firmy Microsoft.

Może być konieczne odczekanie około 15 minut na rozpoczęcie wyświetlania danych w wybranym miejscu docelowym. Aby uzyskać więcej informacji, zobacz How to configure Microsoft Entra diagnostic settings (Jak skonfigurować ustawienia diagnostyczne firmy Microsoft Entra).

Log Analytics

Integrowanie danych o podwyższonym ryzyku z usługą Log Analytics zapewnia niezawodne możliwości analizy danych i wizualizacji. Ogólny proces używania usługi Log Analytics do analizowania danych o podwyższonym ryzyku jest następujący:

  1. Utwórz obszar roboczy usługi Log Analytics.
  2. Skonfiguruj ustawienia diagnostyczne firmy Microsoft Entra w celu wyeksportowania danych.
  3. Wykonywanie zapytań dotyczących danych w usłudze Log Analytics.

Musisz skonfigurować obszar roboczy usługi Log Analytics przed wyeksportowanie i wykonanie zapytania o dane. Po skonfigurowaniu obszaru roboczego usługi Log Analytics i wyeksportowaniu danych przy użyciu ustawień diagnostycznych przejdź do witryny Microsoft Entra admin center>Identity>Monitoring and health>Log Analytics. Następnie za pomocą usługi Log Analytics można wykonywać zapytania dotyczące danych przy użyciu wbudowanych lub niestandardowych zapytań Kusto.

Poniższe tabele są najbardziej interesujące dla administratorów Ochrona tożsamości Microsoft Entra:

  • RiskyUsers — udostępnia dane, takie jak raport Ryzykowni użytkownicy .
  • UserRiskEvents — udostępnia dane, takie jak raport Wykrywanie ryzyka.
  • RiskyServicePrincipals — udostępnia dane, takie jak raport Dotyczący tożsamości obciążeń ryzykownych .
  • ServicePrincipalRiskEvents — udostępnia dane, takie jak raport Wykrywania tożsamości obciążenia.

Uwaga

Usługa Log Analytics ma wgląd tylko w dane przesyłane strumieniowo. Zdarzenia przed włączeniem wysyłania zdarzeń z identyfikatora Entra firmy Microsoft nie są wyświetlane.

Przykładowe zapytania

Zrzut ekranu przedstawiający widok usługi Log Analytics przedstawiający zapytanie AADUserRiskEvents dla 5 najważniejszych zdarzeń.

Na poprzedniej ilustracji uruchomiono następujące zapytanie, aby wyświetlić ostatnie pięć wyzwolonych wykryć ryzyka.

AADUserRiskEvents
| take 5

Inną opcją jest wysłanie zapytania do tabeli AADRiskyUsers, aby zobaczyć wszystkich ryzykownych użytkowników.

AADRiskyUsers

Wyświetl liczbę użytkowników wysokiego ryzyka według dnia:

AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)

Wyświetl przydatne szczegóły badania, takie jak ciąg agenta użytkownika, w celu wykrycia wysokiego ryzyka i nie są korygowane lub odrzucane:

AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId

Uzyskaj dostęp do większej liczby zapytań i szczegółowych informacji wizualnych na podstawie dzienników AADUserRiskEvents i AADRisky Users w skoroszycie Wpływ zasad dostępu opartych na ryzyku.

Konto magazynu

Po routingu dzienników do konta usługi Azure Storage można przechowywać dane dłużej niż domyślny okres przechowywania.

  1. Utwórz konto usługi Azure Storage.
  2. Archiwizowanie dzienników firmy Microsoft w usłudze Microsoft Entra na koncie magazynu.

Azure Event Hubs

Usługa Azure Event Hubs może przeglądać dane przychodzące ze źródeł, takich jak Ochrona tożsamości Microsoft Entra i zapewniać analizę i korelację w czasie rzeczywistym.

  1. Tworzenie centrum zdarzeń platformy Azure.
  2. Przesyłanie strumieniowe dzienników usługi Microsoft Entra do centrum zdarzeń.

Microsoft Sentinel

Organizacje mogą łączyć dane firmy Microsoft Entra z usługą Microsoft Sentinel w celu zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacji zabezpieczeń, automatyzacji i odpowiedzi (SOAR).

  1. Utwórz obszar roboczy usługi Log Analytics.
  2. Skonfiguruj ustawienia diagnostyczne firmy Microsoft Entra w celu wyeksportowania danych.
  3. Łączenie źródeł danych z usługą Microsoft Sentinel.

Powiązana zawartość