Como: exportar dados de risco
O Microsoft Entra ID armazena relatórios e sinais de segurança por um período de tempo definido. Quando se trata de informações de risco, talvez esse período não seja longo o suficiente.
| Relatório/sinal | Microsoft Entra ID Gratuito | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| Logs de auditoria | 7 dias | 30 dias | 30 dias |
| Entradas | 7 dias | 30 dias | 30 dias |
| Uso da autenticação multifator do Microsoft Entra | 30 dias | 30 dias | 30 dias |
| Entradas de risco | 7 dias | 30 dias | 30 dias |
As organizações podem optar por armazenar dados por períodos mais longos alterando as configurações de diagnóstico no Microsoft Entra ID para enviar dados RiskyUsers, UserRiskEvents, RiskyServicePrincipals, e ServicePrincipalRiskEvents para um workspace do Log Analytics, arquivar dados em uma conta de armazenamento, transmiti-los para um hub de eventos ou enviá-los para uma solução de parceiro. Encontre essas opções no Centro de administração do Microsoft Entra>Identidade>Monitoramento e integridade>Configurações de diagnóstico>Editar configuração. Se você não tiver uma configuração de diagnóstico, siga as instruções no artigo Criar configurações de diagnóstico para enviar logs e métricas de plataforma para destinos diferentes para criar uma.
Log Analytics
O Log Analytics permite que as organizações consultem dados usando consultas internas ou consultas Kusto criadas personalizadas, para obter mais informações, consulte Introdução às consultas de log no Azure Monitor.
Uma vez habilitado, você encontrará acesso ao Log Analytics no centro de administração Microsoft Entra>Identidade>Monitoramento e integridade>Log Analytics. As tabelas a seguir são de maior interesse para os administradores do Identity Protection:
- AADRiskyUsers - fornece dados como o relatório de usuários arriscados na proteção de identidade.
- AADRiskyUsers - fornece dados como o relatório de detecções de risco na proteção de identidade.
- RiskyServicePrincipals – fornece dados como o relatório deIdentidades de carga de trabalho arriscadas no Identity Protection.
- ServicePrincipalRiskEvents – fornece dados como o relatório de detecções de identidade da carga de trabalho no Identity Protection.
Na imagem anterior, a consulta em questão foi executada para mostrar as cinco detecções de risco mais recentes disparadas.
AADUserRiskEvents
| take 5
Outra opção é consultar a tabela AADRiskyUsers para ver todos os usuários arriscados.
AADRiskyUsers
Observação
O Log Analytics tem visibilidade apenas dos dados conforme eles são transmitidos. Os eventos anteriores à habilitação do envio de eventos do Microsoft Entra ID não são exibidos.
Conta de armazenamento
Ao rotear os logs para uma conta de Armazenamento do Azure, você pode mantê-los por um tempo maior que o período de retenção padrão. Para obter mais informações, consulte o artigo Tutorial: Arquivar logs do Microsoft Entra em uma conta de armazenamento do Azure.
Hubs de eventos do Azure
Os Hubs de Eventos do Azure podem examinar dados de entrada de fontes como Microsoft Entra ID Protection e fornecer análise e correlação em tempo real. Para obter mais informações, consulte o artigo Tutorial: Transmitir logs do Microsoft Entra para um hub de eventos do Azure
Outras opções
As organizações podem optar por conectar os dados do Microsoft Entra ao Microsoft Sentinel também para processamento adicional.
As organizações podem usar a API do Microsoft Graph para interagir de forma programática com eventos de risco.
Próximas etapas
- O que é o monitoramento do Microsoft Entra?
- instalar e usar as exibições de análise de logs para o Microsoft Entra ID
- Conectar dados do Microsoft Entra ID Protection
- Microsoft Entra ID Protection e o SDK do PowerShell do Microsoft Graph
- Tutorial: Transmitir logs do Microsoft Entra para um hub de eventos do Azure