Comment : Exporter les données liées aux risques
Microsoft Entra ID stocke les rapports et les signaux de sécurité pendant un laps de temps défini. Lorsqu’il s’agit d’informations sur les risques, ce laps de temps pourrait ne pas suffire.
| Rapport/Signal | Microsoft Entra ID Gratuit | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| Journaux d’audit | 7 jours | 30 jours | 30 jours |
| Connexions | 7 jours | 30 jours | 30 jours |
| Utilisation de l’authentification multifacteur Microsoft Entra | 30 jours | 30 jours | 30 jours |
| Connexions risquées | 7 jours | 30 jours | 30 jours |
Les organisations peuvent choisir de stocker des données pour des périodes plus longues en modifiant les paramètres de diagnostic dans Microsoft Entra ID, de manière à envoyer les données RiskyUsers, UserRiskEvents, RiskyServicePrincipals et ServicePrincipalRiskEvents à un espace de travail Log Analytics, archiver des données dans un compte de stockage, envoyer en streaming des données vers un hub d’événements ou envoyer des données à une solution partenaire. Trouvez ces options dans Centre d’administration Microsoft Entra>Identité>Surveillance et intégrité>Paramètres de diagnostic>Modifier les paramètres. Si vous n’avez pas de paramètre de diagnostic, suivez les instructions de l’article Créer des paramètres de diagnostic pour envoyer des journaux et des métriques de plateforme à différentes destinations pour en créer un.
Log Analytics
Log Analytics permet aux organisations d’interroger des données à l’aide de requêtes intégrées ou de requêtes Kusto personnalisées. Pour plus d’informations, consultez Bien démarrer avec les requêtes de journal dans Azure Monitor.
Une fois activé, vous trouverez l’accès à Log Analytics dans le centre d’administration Microsoft Entra>Identité>Supervision et intégrité >Log Analytics. Les tableaux suivants sont particulièrement intéressants pour les administrateurs Identity Protection :
- AADRiskyUsers : fournit des données comme le rapport Utilisateurs à risquedans Identity Protection.
- AADUserRiskEvents : fournit des données comme le rapport Détections de risque dans Identity Protection.
- RiskyServicePrincipals : fournit des données telles que le rapport Identités de charge de travail risquées dans Identity Protection.
- ServicePrincipalRiskEvents : fournit des données comme le rapport sur les détections d’identité de charge de travail dans Identity Protection.
Remarque
Log Analytics n’a une visibilité sur les données que lorsque celles-ci sont envoyées en streaming. Les événements antérieurs à l’activation de l’envoi d’événements à partir de Microsoft Entra ID n’apparaissent pas.
Exemples de requêtes
Dans l’image précédente, la requête suivante a été exécutée pour montrer les cinq détections de risques les plus récentes.
AADUserRiskEvents
| take 5
Une autre option consiste à interroger la table AADRiskyUsers pour voir tous les utilisateurs à risque.
AADRiskyUsers
Visualiser le nombre d’utilisateurs à haut risque par jour :
AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)
Affichez les détails d’investigation utiles, comme la chaîne de l’agent utilisateur, pour les détections présentant un risque élevé et qui ne sont pas corrigées ou ignorées :
AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId
Accédez à d’autres requêtes et insights visuels basés sur AADUserRiskEvents et les journaux utilisateurs AADRisky dans l’Analyse d’impact du classeur des stratégies d’accès basées sur les risques.
Compte de stockage
Si vous routez les journaux vers un compte de stockage Azure, vous pouvez les conserver plus longtemps que la période de conservation par défaut. Pour plus d’informations, consultez l’article Tutoriel : Archiver des journaux Microsoft Entra sur un compte de stockage Azure.
Azure Event Hubs
Azure Event Hubs peut examiner les données entrantes provenant de sources comme Protection des ID Microsoft Entra, et fournir une analyse et une corrélation en temps réel. Pour plus d’informations, consultez cet article Didacticiel : diffuser les journaux d’activité Microsoft Entra vers un Event Hub Azure.
Autres options
Les organisations peuvent également choisir de connecter les données Microsoft Entra à Microsoft Sentinel pour un traitement approfondi.
Les organisations peuvent utiliser l’API Microsoft Graph pour interagir par programme avec les événements à risque.
Étapes suivantes
- Qu’est-ce que la surveillance Microsoft Entra ?
- Installer et utiliser les vues d'analyse de journaux pour Microsoft Entra ID
- Connecter des données à partir de Protection des ID Microsoft Entra
- Protection des ID Microsoft Entra et le Kit de développement logiciel Microsoft Graph PowerShell
- Tutoriel : diffuser les journaux Microsoft Entra vers un Event Hub Azure