How To: Export risk data
A Microsoft Entra ID meghatározott ideig tárolja a jelentéseket és a biztonsági jelzéseket. Ha kockázati információkról van szó, előfordulhat, hogy ez az időszak nem elég hosszú.
Jelentés / Jel | Microsoft Entra ID Free | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
---|---|---|---|
Audit logs | 7 days | 30 days | 30 days |
Sign-ins | 7 days | 30 days | 30 days |
Microsoft Entra többfaktoros hitelesítés használata | 30 days | 30 days | 30 days |
Risky sign-ins | 7 days | 30 days | 30 days |
A szervezetek dönthetnek úgy, hogy hosszabb ideig tárolják az adatokat, ha módosítják a Diagnosztikai beállításokat a Microsoft Entra-azonosítóban, hogy a RiskyUsers, a UserRiskEvents, a RiskyServicePrincipals és a ServicePrincipalRiskEvents adatokat küldjenek egy Log Analytics-munkaterületre, archiválják az adatokat egy tárfiókba, adatokat streameljenek egy eseményközpontba, vagy adatokat küldjenek egy partnermegoldásnak. Ezeket a beállításokat a Microsoft Entra Felügyeleti központ>Identitásfigyelés>és állapot>diagnosztikai beállításai>szerkesztési beállításában találja. Ha nem rendelkezik diagnosztikai beállítással, kövesse a Diagnosztikai beállítások létrehozása című cikkben található utasításokat, hogy platformnaplókat és metrikákat küldjön különböző helyekre , hogy létrehozhasson egyet.
Log Analytics
A Log Analytics lehetővé teszi, hogy a szervezetek beépített lekérdezésekkel vagy egyénileg létrehozott Kusto-lekérdezésekkel kérdezhessenek le adatokat. További információt a napló lekérdezéseinek első lépései az Azure Monitorban című témakörben talál.
Ha engedélyezve van, a Log Analyticshez való hozzáférést a Microsoft Entra Felügyeleti központ>Identity>Monitoring & Health>Log Analytics szolgáltatásában találja. Az identity Protection-rendszergazdák számára az alábbi táblák a legfontosabbak:
- AADRiskyUsers – Olyan adatokat biztosít, mint a Kockázatos felhasználók jelentés az Identity Protectionben.
- AADUserRiskEvents – Olyan adatokat biztosít, mint a Kockázatészlelési jelentés az Identity Protectionben.
- RiskyServicePrincipals – Olyan adatokat biztosít, mint a Kockázatos számítási feladatok identitásai jelentés az Identity Protectionben.
- ServicePrincipalRiskEvents – Olyan adatokat biztosít, mint a számítási feladatok identitásészlelési jelentése az Identity Protectionben.
Az előző képen a következő lekérdezést futtatták a legutóbbi öt aktivált kockázatészlelés megjelenítéséhez.
AADUserRiskEvents
| take 5
Egy másik lehetőség az AADRiskyUsers tábla lekérdezése az összes kockázatos felhasználó megtekintéséhez.
AADRiskyUsers
Megjegyzés:
A Log Analytics csak adatfolyamként tekinti át az adatokat. Az események Microsoft Entra-azonosítóból való küldésének engedélyezését megelőző események nem jelennek meg.
Storage account
Ha naplókat irányít egy Azure Storage-fiókhoz, az alapértelmezett megőrzési időszaknál hosszabb ideig is megtarthatja. További információ: Oktatóanyag: Microsoft Entra-naplók archiválása Azure-tárfiókba.
Azure Event Hubs
Az Azure Event Hubs megtekintheti az olyan forrásokból származó bejövő adatokat, mint a Microsoft Entra ID-védelem, és valós idejű elemzést és korrelációt biztosít. További információ: Oktatóanyag: Microsoft Entra-naplók streamelése egy Azure-eseményközpontba
Other options
A szervezetek dönthetnek úgy, hogy a Microsoft Entra-adatokat a Microsoft Sentinelhez csatlakoztatják, illetve további feldolgozás céljából.
A szervezetek a Microsoft Graph API használatával programozott módon kezelhetik a kockázati eseményeket.