通过

操作方式:导出风险数据

Microsoft Entra ID 在定义的时间段内存储报表和安全信号。 涉及到风险信息时,时间可能不够长。

报表/信号 Microsoft Entra ID 免费版 Microsoft Entra ID P1 Microsoft Entra ID P2
审核日志 7 天 30 天 30 天
登录 7 天 30 天 30 天
Microsoft Entra 多重身份验证使用情况 30 天 30 天 30 天
有风险的登录 7 天 30 天 30 天

本文介绍用于从 Microsoft Entra ID 保护导出风险数据以便进行长期存储和分析的可用方法。

先决条件

若要导出用于存储和分析的风险数据,需要:

  • 用于创建 Log Analytics 工作区、Azure 事件中心或 Azure 存储帐户的 Azure 订阅。 如果没有 Azure 订阅,可以 注册免费试用版
  • 安全管理员角色是配置 Microsoft Entra 租户的诊断设置所需的最低特权角色。

诊断设置

通过在 Microsoft Entra ID 中配置诊断设置来导出数据,组织可以选择存储或导出 RiskyUsers、UserRiskEvents、RiskyServicePrincipals 和 ServicePrincipalRiskEvents 数据。 可以将数据集成到 Log Analytics 工作区、将数据存档到存储帐户、将数据流式传输到事件中心或将数据发送到合作伙伴解决方案。

必须设置用于导出日志的终结点,然后才能配置诊断设置。 有关可用于日志存储和分析的方法的快速摘要,请参阅 如何访问 Microsoft Entra ID 中的活动日志

  1. 以至少安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>监控与健康状态>诊断设置

  3. 选择“+ 添加诊断设置”。

  4. 输入“诊断设置名称”,选择要流式传输的日志类别,选择以前配置的目标,然后选择“保存”

Microsoft Entra ID 中诊断设置屏幕的屏幕截图。

可能需要等待大约 15 分钟,数据才会开始显示在所选目标中。 有关详细信息,请参阅 如何配置 Microsoft Entra 诊断设置

Log Analytics

将风险数据集成到 Log Analytics 可提供可靠的数据分析和可视化功能。 使用 Log Analytics 分析风险数据的概要过程如下所示:

  1. 创建 Log Analytics 工作区
  2. 配置Microsoft Entra 诊断设置以导出数据
  3. 查询 Log Analytics 中的数据

需要先配置 Log Analytics 工作区,然后才能导出并查询数据。 配置 Log Analytics 工作区并使用诊断设置导出数据后,请转到 Microsoft Entra 管理中心>Entra ID>监视和运行状况>Log Analytics。 然后,借助 Log Analytics,可以使用内置查询或自定义 Kusto 查询来查询数据。

下表提供了 Microsoft Entra ID 保护的管理员最感兴趣的内容:

  • RiskyUsers - 提供“风险用户”报告等数据
  • UserRiskEvents - 提供“风险检测”报告等数据
  • RiskyServicePrincipals - 提供类似于风险工作负载身份报告的数据。
  • ServicePrincipalRiskEvents - 提供类似于工作负荷身份检测报告的数据。

注意

Log Analytics 仅对流式传输的数据具有可见性。 在启用从 Microsoft Entra ID 发送事件之前的事件不会显示。

示例查询

Log Analytics 视图的屏幕截图,其中显示了前 5 个事件的 AADUserRiskEvents 查询。

在上图中,运行了以下查询以显示最近触发的 5 个风险检测。

AADUserRiskEvents
| take 5

另一种选择是查询 AADRiskyUsers 表以查看所有风险用户。

AADRiskyUsers

按天查看高风险用户的计数:

AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)

查看有用的调查详细信息(如用户代理字符串),了解高风险且未修正或未消除的检测:

AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId

基于风险的访问策略工作簿的影响分析中,基于 AADUserRiskEvents 和 AADRiskyUsers 日志访问更多查询和视觉洞察。

风险分析

组织可以通过基于风险的条件访问策略减少安全运营中心(SOC)的工作负载和支持操作的开销。 在以下视频中了解详细信息, 使用 Microsoft Entra ID 保护掌握风险分析

存储帐户

通过将日志路由到 Azure 存储帐户,可以将数据保留更长一段时间(与默认保持期相比)。

  1. 创建 Azure 存储帐户
  2. 将Microsoft Entra 日志存档到存储帐户

Azure 事件中心

Azure 事件中心可以查看来自源(如 Microsoft Entra ID 保护)的传入数据,并提供实时分析和关联。

  1. 创建 Azure 事件中心
  2. 将 Microsoft Entra 日志发送到事件中心

Microsoft Sentinel

组织可以选择 将 Microsoft Entra 数据连接到 Microsoft Sentinel ,以便进行安全信息和事件管理(SIEM)和安全业务流程、自动化和响应(SOAR)。

  1. 创建 Log Analytics 工作区
  2. 配置Microsoft Entra 诊断设置以导出数据
  3. 将数据源连接到 Microsoft Sentinel

相关内容