Практическое руководство: экспорт данных о рисках

Идентификатор Microsoft Entra хранит отчеты и сигналы безопасности в течение определенного периода времени. Когда дело доходит до информации о рисках, этот период может быть недостаточно длинным.

В этой статье описываются доступные методы экспорта данных о рисках из Microsoft Entra ID Protection для долгосрочного хранения и анализа.

Предварительные условия

Чтобы экспортировать данные риска для хранения и анализа, вам потребуется:

• Подписка Azure для создания рабочей области Log Analytics, концентратора событий Azure или учетной записи хранения Azure. Если у вас нет подписки Azure, вы можете зарегистрироваться для получения бесплатной пробной версии.
• Роль администратора безопасности является наименее привилегированной ролью, необходимой для настройки параметров диагностики для клиента Microsoft Entra.

Параметры диагностики

Организации могут хранить или экспортировать данные RiskyUsers, UserRiskEvents, RiskyServicePrincipals и ServicePrincipalRiskEvents , настраивая параметры диагностики в идентификаторе Microsoft Entra для экспорта данных. Данные можно интегрировать с рабочей областью Log Analytics, архивировать данные в учетную запись хранения, передавать данные в концентратор событий или отправлять данные в партнерское решение.

Конечная точка, выбранная для экспорта журналов, должна быть настроена перед настройкой параметров диагностики. Краткий обзор методов, доступных для хранения журналов и анализа, см. в разделе "Как получить доступ к журналам действий" в идентификаторе Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

2. Перейдите к Entra ID>Мониторинг и работоспособность>Диагностические параметры.

3. Выберите и добавьте параметр диагностики.

4. Введите имя параметра диагностики, выберите категории журналов, которые вы хотите передавать, выберите ранее настроенное назначение и нажмите Сохранить.

Возможно, потребуется ждать около 15 минут, чтобы данные начали появляться в выбранном месте назначения. Дополнительные сведения см. в разделе "Настройка параметров диагностики Microsoft Entra".

Служба Log Analytics

Интеграция данных риска с Log Analytics обеспечивает надежные возможности анализа и визуализации данных. Высокоуровневый процесс анализа данных риска с помощью Log Analytics выглядит следующим образом:

1. Создайте рабочую область Log Analytics.
2. Настройте параметры диагностики Microsoft Entra для экспорта данных.
3. Запрос данных в Log Analytics.

Перед экспортом и запросом данных необходимо настроить рабочую область Log Analytics. После настройки рабочей области Log Analytics и экспорта данных с параметрами диагностики перейдите в Центр администрирования Microsoft Entra>Entra ID>Мониторинг и здоровье>Log Analytics. Затем с помощью Log Analytics можно запрашивать данные с помощью встроенных или пользовательских запросов Kusto.

Следующие таблицы наиболее интересны для администраторов Microsoft Entra Защиты управления идентификацией.

• RiskyUsers — предоставляет данные, такие как отчет о рискованных пользователях .
• UserRiskEvents — предоставляет такие данные, как отчет об обнаружении рисков .
• RiskyServicePrincipals — предоставляет данные, аналогичные отчету о рискованных удостоверениях рабочих нагрузок.
• ServicePrincipalRiskEvents — предоставляет такие данные, как отчет об обнаружении идентификаторов рабочей нагрузки.

Примеры запросов

На предыдущем изображении выполняется следующий запрос, чтобы отобразить последние пять обнаруженных рисков.

AADUserRiskEvents
| take 5

Другой вариант — выполнить запрос к таблице AADRiskyUsers, чтобы посмотреть всех пользователей, совершающих рискованные действия.

AADRiskyUsers

Просмотрите количество пользователей с высоким риском по дням:

AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)

Просмотрите полезные сведения о расследовании, например строку агента пользователя, для обнаружений, которые представляют высокий риск и не устраняются или не отклоняются.

AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId

Доступ к большему количеству запросов и визуальных данных на основе журналов AADUserRiskEvents и AADRisky Users в рабочем документе анализа воздействия политик доступа, основанных на рисках.

Анализ рисков

Организации могут снизить рабочие нагрузки центра операций безопасности (SOC) и накладные расходы с помощью политик условного доступа на основе рисков. Дополнительные сведения см. в следующем видео: Освоение анализа рисков с Microsoft Entra ID Protection.

учетная запись хранилища

Путем маршрутизации журналов в учетную запись хранения Azure данные можно хранить дольше, чем срок хранения по умолчанию.

1. Создайте учетную запись хранения Azure.
2. Архивируйте журналы Microsoft Entra в учетную запись хранения.

Центры событий Azure

Центры событий Azure могут просматривать входящие данные из источников, таких как Защита идентификации Microsoft Entra, и предоставлять анализ и корреляцию в режиме реального времени.

1. Создание концентратора событий Azure.
2. Перенаправить журналы Microsoft Entra в концентратор событий.

Microsoft Sentinel

Организации могут подключать данные Microsoft Entra к Microsoft Sentinel для управления информационной безопасностью и событиями (SIEM) и оркестрации безопасности, автоматизации и ответа (SOAR).

1. Создайте рабочую область Log Analytics.
2. Настройте параметры диагностики Microsoft Entra для экспорта данных.
3. Подключите источники данных к Microsoft Sentinel.

Связанный контент

• Использование API Microsoft Graph для программного взаимодействия с событиями риска
• Microsoft Entra ID Protection и пакет SDK Microsoft Graph PowerShell
• Общие сведения о решениях партнеров Azure для параметров диагностики