Condividi tramite

Procedura: Esportare i dati sui rischi

  • Articolo

Microsoft Entra ID archivia i dati relativi a report e segnali di sicurezza per un periodo di tempo definito. Quando si tratta di informazioni sui rischi, questo periodo potrebbe non essere abbastanza lungo.

Report/Segnale Microsoft Entra ID gratis Microsoft Entra ID P1 Microsoft Entra ID P2
Log di controllo 7 giorni 30 giorni 30 giorni
Accessi 7 giorni 30 giorni 30 giorni
Utilizzo dell'autenticazione a più fattori di Microsoft Entra 30 giorni 30 giorni 30 giorni
Accessi a rischio 7 giorni 30 giorni 30 giorni

Questo articolo descrive i metodi disponibili per l'esportazione dei dati sui rischi da Microsoft Entra ID Protection per l'archiviazione e l'analisi a lungo termine.

Prerequisiti

Per esportare i dati di rischio per l'archiviazione e l'analisi, è necessario:

Impostazioni di diagnostica

Le organizzazioni possono scegliere di archiviare o esportare dati RiskyUsers, UserRiskEvents, RiskyServicePrincipals e ServicePrincipalRiskEvents configurando le impostazioni di diagnostica in Microsoft Entra ID per esportare i dati. È possibile integrare i dati con un'area di lavoro Log Analytics, archiviare i dati in un account di archiviazione, trasmettere i dati a un hub eventi o inviare dati a una soluzione partner.

L'endpoint selezionato per l'esportazione dei log deve essere configurato prima di poter configurare le impostazioni di diagnostica. Per un breve riepilogo dei metodi disponibili per l'archiviazione e l'analisi dei log, vedere Come accedere ai log attività in Microsoft Entra ID.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.

  2. Passare a Identità> Monitoraggio e stato>Impostazioni di diagnostica .

  3. Fare clic su + Aggiungi impostazione di diagnostica.

  4. Immettere un nome di impostazione di diagnostica, selezionare le categorie di log da trasmettere, selezionare una destinazione configurata in precedenza e selezionare Salva.

Screenshot della schermata delle impostazioni di diagnostica in Microsoft Entra ID.

Potrebbe essere necessario attendere circa 15 minuti prima che i dati inizino a essere visualizzati nella destinazione selezionata. Per altre informazioni, vedere Come configurare le impostazioni di diagnostica di Microsoft Entra.

Log Analytics

L'integrazione dei dati di rischio con Log Analytics offre solide funzionalità di analisi e visualizzazione dei dati. Il processo generale per l'uso di Log Analytics per analizzare i dati di rischio è il seguente:

  1. Creare un'area di lavoro Log Analytics.
  2. Configurare le impostazioni di diagnostica di Microsoft Entra per esportare i dati.
  3. Eseguire query sui dati in Log Analytics.

È necessario configurare un'area di lavoro Log Analytics prima di poter esportare ed eseguire query sui dati. Dopo aver configurato un'area di lavoro Log Analytics ed esportato i dati con le impostazioni di diagnostica, passare all'interfaccia >di amministrazione di Microsoft Entra Monitoraggio identità>e integrità>Log Analytics. Con Log Analytics è quindi possibile eseguire query sui dati usando query Kusto predefinite o personalizzate.

Le tabelle seguenti sono particolarmente interessanti per gli amministratori di Microsoft Entra ID Protection:

  • RiskyUsers: fornisce dati come il report Utenti rischiosi.
  • UserRiskEvents: fornisce dati come il report Rilevamenti dei rischi.
  • RiskyServicePrincipals: fornisce dati come il report Identità del carico di lavoro rischioso.
  • ServicePrincipalRiskEvents: fornisce dati come il report Rilevamenti identità dei carichi di lavoro.

Nota

Log Analytics ha visibilità solo nei dati durante lo streaming. Gli eventi prima di abilitare l'invio di eventi da Microsoft Entra ID non vengono visualizzati.

Query di esempio

Screenshot della visualizzazione Log Analytics che mostra una query AADUserRiskEvents per i primi 5 eventi.

Nell'immagine precedente è stata eseguita la query seguente per visualizzare i cinque rilevamenti di rischio più recenti attivati.

AADUserRiskEvents
| take 5

Un'altra opzione consiste nel eseguire una query sulla tabella AADRiskyUsers per visualizzare tutti gli utenti a rischio.

AADRiskyUsers

Visualizzare il numero di utenti ad alto rischio per giorno:

AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)

Visualizzare i dettagli utili dell'indagine, ad esempio la stringa dell'agente utente, per i rilevamenti ad alto rischio e non vengono corretti o ignorati:

AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId

Accedere a più query e informazioni visive basate sui log AADUserRiskEvents e AADRisky Utenti nella cartella di lavoro Analisi dell'impatto dei criteri di accesso basati sui rischi.

Account di archiviazione

Instradando i log a un account di archiviazione di Azure, è possibile conservare i dati per più tempo rispetto al periodo di conservazione predefinito.

  1. Creare un account di archiviazione di Azure.
  2. Archiviare i log di Microsoft Entra in un account di archiviazione.

Hub eventi di Azure

Hub eventi di Azure può esaminare i dati in ingresso da origini come Microsoft Entra ID Protection e fornire analisi e correlazione in tempo reale.

  1. Creare un hub eventi di Azure.
  2. Trasmettere i log di Microsoft Entra a un hub eventi.

Microsoft Sentinel

Le organizzazioni possono scegliere di connettere i dati di Microsoft Entra a Microsoft Sentinel per informazioni di sicurezza e gestione degli eventi (SIEM) e orchestrazione della sicurezza, automazione e risposta (SOAR).

  1. Creare un'area di lavoro Log Analytics.
  2. Configurare le impostazioni di diagnostica di Microsoft Entra per esportare i dati.
  3. Connettere le origini dati a Microsoft Sentinel.

Contenuto correlato