Procedimentos: Exportar dados de risco
O Microsoft Entra ID armazena relatórios e sinais de segurança por um período de tempo definido. Quando se trata de informações de risco, esse período pode não ser suficientemente longo.
| Relatório / Sinal | Microsoft Entra ID Gratuito | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| Registos de auditoria | 7 dias | 30 dias | 30 dias |
| Inícios de sessão | 7 dias | 30 dias | 30 dias |
| Utilização da autenticação multifator do Microsoft Entra | 30 dias | 30 dias | 30 dias |
| Inícios de sessão de risco | 7 dias | 30 dias | 30 dias |
Este artigo descreve os métodos disponíveis para exportar dados de risco do Microsoft Entra ID Protection para armazenamento e análise de longo prazo.
Pré-requisitos
Para exportar dados de risco para armazenamento e análise, você precisa:
- Uma assinatura do Azure para criar um espaço de trabalho do Log Analytics, um hub de eventos do Azure ou uma conta de armazenamento do Azure. Se não tiver uma subscrição do Azure, pode inscrever-se para obter uma avaliação gratuita.
- Acesso de administrador de segurança para criar configurações gerais de diagnóstico para o locatário do Microsoft Entra.
Definições de diagnóstico
As organizações podem optar por armazenar ou exportar dados RiskyUsers, UserRiskEvents, RiskyServicePrincipals e ServicePrincipalRiskEvents definindo configurações de diagnóstico no Microsoft Entra ID para exportar os dados. Você pode integrar os dados com um espaço de trabalho do Log Analytics, arquivar dados em uma conta de armazenamento, transmitir dados para um hub de eventos ou enviar dados para uma solução de parceiro.
O ponto de extremidade selecionado para exportar os logs deve ser configurado antes que você possa definir as configurações de diagnóstico. Para obter um resumo rápido dos métodos disponíveis para armazenamento e análise de logs, consulte Como acessar logs de atividade no Microsoft Entra ID.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
Navegue até Monitoramento de identidade>& configurações de diagnóstico de integridade>.
Selecione +Adicionar definição de diagnóstico.
Insira um nome de configuração de diagnóstico, selecione as categorias de log que deseja transmitir, selecione um destino configurado anteriormente e selecione Salvar.
Talvez seja necessário aguardar cerca de 15 minutos para que os dados comecem a aparecer no destino selecionado. Para obter mais informações, consulte Como definir as configurações de diagnóstico do Microsoft Entra.
Log Analytics
A integração de dados de risco com o Log Analytics fornece recursos robustos de análise e visualização de dados. O processo de alto nível para usar o Log Analytics para analisar dados de risco é o seguinte:
- Crie um espaço de trabalho do Log Analytics.
- Configure as configurações de diagnóstico do Microsoft Entra para exportar os dados.
- Consulte os dados no Log Analytics.
Você precisa configurar um espaço de trabalho do Log Analytics antes de poder exportar e, em seguida, consultar os dados. Depois de configurar um espaço de trabalho do Log Analytics e exportar os dados com as configurações de diagnóstico, vá para o centro>de administração do Microsoft Entra Identity>Monitoring & health>Log Analytics. Em seguida, com o Log Analytics, você pode consultar dados usando consultas Kusto internas ou personalizadas.
As tabelas a seguir são de maior interesse para os administradores do Microsoft Entra ID Protection:
- RiskyUsers - Fornece dados como o relatório de usuários arriscados.
- UserRiskEvents - Fornece dados como o relatório de deteções de risco.
- RiskyServicePrincipals - Fornece dados como o relatório de identidades de carga de trabalho de risco.
- ServicePrincipalRiskEvents - Fornece dados como o relatório de deteções de identidade de carga de trabalho.
Nota
O Log Analytics só tem visibilidade dos dados à medida que são transmitidos. Os eventos anteriores à habilitação do envio de eventos da ID do Microsoft Entra não aparecem.
Consultas de amostra
Na imagem anterior, a consulta a seguir foi executada para mostrar as cinco deteções de risco mais recentes acionadas.
AADUserRiskEvents
| take 5
Outra opção é consultar a tabela AADRiskyUsers para ver todos os usuários arriscados.
AADRiskyUsers
Veja a contagem de usuários de alto risco por dia:
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
Veja detalhes úteis da investigação, como a cadeia de caracteres do agente do usuário, para deteções de alto risco e que não são remediadas ou descartadas:
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
Acesse mais consultas e insights visuais com base nos logs AADUserRiskEvents e AADRisky Users na pasta de trabalho Análise de impacto de políticas de acesso baseadas em risco.
Conta de armazenamento
Ao rotear logs para uma conta de armazenamento do Azure, você pode manter os dados por mais tempo do que o período de retenção padrão.
- Crie uma conta de armazenamento do Azure.
- Arquive os logs do Microsoft Entra em uma conta de armazenamento.
Hubs de Eventos do Azure
Os Hubs de Eventos do Azure podem examinar dados de entrada de fontes como a Proteção de ID do Microsoft Entra e fornecer análise e correlação em tempo real.
- Crie um hub de eventos do Azure.
- Transmita logs do Microsoft Entra para um hub de eventos.
Microsoft Sentinel
As organizações podem optar por conectar os dados do Microsoft Entra ao Microsoft Sentinel para gerenciamento de eventos e informações de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR).
- Crie um espaço de trabalho do Log Analytics.
- Configure as configurações de diagnóstico do Microsoft Entra para exportar os dados.
- Conecte fontes de dados ao Microsoft Sentinel.