共用方式為

操作說明:匯出風險資料

  • 發行項

Microsoft Entra ID 會將報告與安全性訊號儲存一段定義的期間。 當談到風險資訊時,該期間可能不夠長。

報告/訊號 Microsoft Entra ID Free Microsoft Entra ID P1 Microsoft Entra ID P2
稽核記錄 7 天 30 天 30 天
登入 7 天 30 天 30 天
Microsoft Entra 多重要素驗證使用量 30 天 30 天 30 天
有風險的登入 7 天 30 天 30 天

本文說明從 Microsoft Entra ID Protection 匯出風險數據以進行長期儲存和分析的可用方法。

必要條件

若要匯出記憶體和分析的風險數據,您需要:

  • 用來建立 Log Analytics 工作區、Azure 事件中樞或 Azure 記憶體帳戶的 Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,則可以註冊申請一個免費的試用帳戶
  • 安全性系統管理員存取權,以建立 Microsoft Entra 租用戶的一般診斷設定。

診斷設定

組織可以選擇在 entra ID Microsoft 中設定診斷設定,以儲存或匯出 RiskyUsersUserRiskEventsRiskyServicePrincipalsServicePrincipalRiskEvents 數據。 您可以將數據與 Log Analytics 工作區整合、將數據封存至記憶體帳戶、將數據串流至事件中樞,或將數據傳送至合作夥伴解決方案。

您選取用來匯出記錄的端點必須先設定,才能設定診斷設定。 如需記錄記憶體和分析可用方法的快速摘要,請參閱 如何在 Microsoft Entra ID 中存取活動記錄。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[監視和健康情況]>[診斷設定]

  3. 選取 +新增診斷設定

  4. 輸入診斷設定名稱、選取您要串流的記錄類別、選取先前設定的目的地,然後選取 [儲存]。

Microsoft Entra ID 中診斷設定畫面的螢幕快照。

您可能需要等候大約 15 分鐘,數據才能開始出現在您選取的目的地中。 如需詳細資訊,請參閱 如何設定Microsoft Entra 診斷設定

Log Analytics

將風險數據與Log Analytics整合可提供強大的數據分析和視覺效果功能。 使用 Log Analytics 分析風險數據的高階程式如下:

  1. 建立 Log Analytics 工作區
  2. 設定Microsoft Entra 診斷設定以導出數據
  3. 查詢 Log Analytics 中的數據。

您必須先設定 Log Analytics 工作區,才能匯出然後查詢數據。 設定 Log Analytics 工作區並匯出診斷設定的數據之後,請移至 Microsoft Entra 系統管理中心>身分識別>監視與健康>情況 Log Analytics。 然後,使用 Log Analytics,您可以使用內建或自定義 Kusto 查詢來查詢數據。

下列是 Microsoft Entra ID Protection 管理員最感興趣的資料表:

  • RiskyUsers - 提供像是 Risky 使用者 報告的數據。
  • UserRiskEvents - 提供像是風險偵測報告的數據
  • RiskyServicePrincipals - 提供 [具風險工作負載身分識別] 報告之類的資料。
  • ServicePrincipalRiskEvents - 提供[工作負載身分識別偵測] 報告之類的資料。

注意

Log Analytics 只能檢視串流之後的資料。 啟用從 Microsoft Entra ID 傳送事件之前的事件都不會出現。

範例查詢

Log Analytics 檢視的螢幕快照,其中顯示前 5 個事件的 AADUserRiskEvents 查詢。

上圖執行了下列查詢,以顯示最近觸發的五個風險偵測。

AADUserRiskEvents
| take 5

另一個選項是查詢 AADRiskyUsers 資料表,以查看所有具風險使用者。

AADRiskyUsers

依日檢視高風險使用者的計數:

AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)

檢視有用的調查詳細資料 (例如使用者代理程式字串),了解高風險且未補救或關閉的偵測:

AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId

根據風險型存取原則的影響分析活頁簿中的 AADUserRiskEvents 和 AADRisky 使用者記錄,存取更多查詢和視覺效果見解。

儲存體帳戶

藉由將記錄路由傳送至 Azure 記憶體帳戶,您可以將數據保留時間超過預設保留期限。

  1. 建立 Azure 儲存體帳戶。
  2. 封存Microsoft Entra 記錄到記憶體帳戶

Azure 事件中樞

Azure 事件中樞可讓您查看從 Microsoft Entra ID Protection 等來源傳入的資料,並提供即時分析和相互關聯。

  1. 建立 Azure 事件中樞
  2. 將Microsoft Entra 記錄串流至事件中樞

Microsoft Sentinel

組織可以選擇 將Microsoft Entra 數據連線到 sentinel Microsoft Sentinel ,以取得安全性資訊和事件管理 (SIEM) 和安全性協調流程、自動化和回應 (SOAR)。

  1. 建立 Log Analytics 工作區
  2. 設定Microsoft Entra 診斷設定以導出數據
  3. 將數據源聯機到 sentinel Microsoft。

相關內容