Como: Exportar dados de risco
O Microsoft Entra ID armazena relatórios e sinais de segurança por um período de tempo definido. Quando se trata de informações de risco, esse período pode não ser suficientemente longo.
Relatório / Sinal | Microsoft Entra ID Grátis | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
---|---|---|---|
Logs de auditoria | 7 dias | 30 dias | 30 dias |
Entradas | 7 dias | 30 dias | 30 dias |
Uso da autenticação multifator do Microsoft Entra | 30 dias | 30 dias | 30 dias |
Entradas arriscadas | 7 dias | 30 dias | 30 dias |
As organizações podem optar por armazenar dados por períodos mais longos alterando as configurações de diagnóstico no Microsoft Entra ID para enviar dados RiskyUsers, UserRiskEvents, RiskyServicePrincipals e ServicePrincipalRiskEvents para um espaço de trabalho do Log Analytics, arquivar dados em uma conta de armazenamento, transmitir dados para um hub de eventos ou enviar dados para uma solução de parceiro. Encontre estas opções no centro>de administração do Microsoft Entra Monitoramento de identidade>& integridade>Configurações>de diagnóstico Editar configuração. Se você não tiver uma configuração de diagnóstico, siga as instruções no artigo Criar configurações de diagnóstico para enviar logs e métricas da plataforma para destinos diferentes para criar um.
Análise de logs
O Log Analytics permite que as organizações consultem dados usando consultas internas ou consultas Kusto criadas personalizadas, para obter mais informações, consulte Introdução às consultas de log no Azure Monitor.
Uma vez ativado, você encontra acesso ao Log Analytics no centro>de administração do Microsoft Entra, Monitoramento de Identidade>e saúde>, Análise de Log. As tabelas a seguir são de maior interesse para os administradores do Microsoft Entra ID Protection:
- AADRiskyUsers - Fornece dados como o relatório de usuários arriscados.
- AADUserRiskEvents - Fornece dados como o relatório de deteções de risco.
- RiskyServicePrincipals - Fornece dados como o relatório de identidades de carga de trabalho de risco.
- ServicePrincipalRiskEvents - Fornece dados como o relatório de deteções de identidade de carga de trabalho.
Observação
O Log Analytics só tem visibilidade dos dados à medida que são transmitidos. Os eventos anteriores à habilitação do envio de eventos da ID do Microsoft Entra não aparecem.
Exemplos de consultas
Na imagem anterior, a consulta a seguir foi executada para mostrar as cinco deteções de risco mais recentes acionadas.
AADUserRiskEvents
| take 5
Outra opção é consultar a tabela AADRiskyUsers para ver todos os usuários arriscados.
AADRiskyUsers
Veja a contagem de usuários de alto risco por dia:
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
Veja detalhes úteis da investigação, como a cadeia de caracteres do agente do usuário, para deteções de alto risco e que não são remediadas ou descartadas:
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
Acesse mais consultas e insights visuais com base nos logs AADUserRiskEvents e AADRisky Users na pasta de trabalho Análise de impacto de políticas de acesso baseadas em risco.
Conta de armazenamento
Ao rotear logs para uma conta de armazenamento do Azure, você pode mantê-la por mais tempo do que o período de retenção padrão. Para obter mais informações, consulte o artigo Tutorial: Arquivar logs do Microsoft Entra em uma conta de armazenamento do Azure.
Hubs de Eventos do Azure
Os Hubs de Eventos do Azure podem examinar dados de entrada de fontes como a Proteção de ID do Microsoft Entra e fornecer análise e correlação em tempo real. Para obter mais informações, consulte o artigo Tutorial: Transmitir logs do Microsoft Entra para um hub de eventos do Azure.
Outras opções
As organizações também podem optar por conectar os dados do Microsoft Entra ao Microsoft Sentinel para processamento posterior.
As organizações podem usar a API do Microsoft Graph para interagir programaticamente com eventos de risco.
Próximos passos
- O que é o monitoramento do Microsoft Entra?
- Instalar e usar as exibições de análise de log para o Microsoft Entra ID
- Conectar dados do Microsoft Entra ID Protection
- Proteção de ID do Microsoft Entra e o SDK do Microsoft Graph PowerShell
- Tutorial: Transmitir logs do Microsoft Entra para um hub de eventos do Azure