Co jsou protokoly stavu vzdálené sítě?

Článek
07/03/2024

Vzdálené sítě, jako je pobočka, spoléhají na místní vybavení zákazníků (CPE) a připojují uživatele v těchto umístěních k online prostředkům a službám, které potřebují. Uživatelé očekávají, že cpe bude fungovat, aby mohli pracovat. Pokud chcete, aby byli všichni připojení, musíte zajistit stav tunelu IPSec a inzerování tras protokolu BGP (Border Gateway Protocol). Tento dlouhotrvající tunel a informace o směrování jsou klíče ke vzdálenému stavu sítě.

Tento článek popisuje několik metod pro přístup k protokolům stavu vzdálené sítě a jejich analýzu.

Přístup k protokolům v Centru pro správu Microsoft Entra nebo v rozhraní Microsoft Graph API
Export protokolů do Log Analytics nebo nástroje pro správu událostí a informací o zabezpečení (SIEM)
Analýza protokolů pomocí sešitu Azure pro Microsoft Entra
Stažení protokolů pro dlouhodobé úložiště

Požadavky

Pokud chcete zobrazit protokoly stavu vzdálené sítě v Centru pro správu Microsoft Entra, potřebujete:

Jedna z následujících rolí: globální správce zabezpečeného přístupu nebo správce zabezpečení.
Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
Pro přístup k protokolům pomocí rozhraní Microsoft Graph API a integraci se službami Log Analytics a Azure Workbooks se vyžadují samostatné role.

Zobrazení protokolů

Pokud chcete zobrazit protokoly stavu vzdálené sítě, můžete použít centrum pro správu Microsoft Entra nebo rozhraní Microsoft Graph API.

Centrum pro správu Microsoft Entra
Microsoft Graph API

Zobrazení protokolů vzdáleného stavu sítě v Centru pro správu Microsoft Entra:

Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.
Přejděte do protokolů stavu vzdálené sítě monitorování>globálního zabezpečeného přístupu>.

Protokoly stavu vzdálené sítě s globálním zabezpečeným přístupem je možné zobrazit a spravovat pomocí Microsoft Graphu na koncovém /beta bodu.

Pro přístup k protokolům pomocí rozhraní Microsoft Graph API potřebujete jedno z následujících oprávnění:

Directory.ReadWrite.All
NetworkAccess.Read.All
NetworkAccess.ReadWrite.All
NetworkAccess-Reports.Read.All

Přístup k protokolům stavu vzdálené sítě pomocí rozhraní Microsoft Graph API:

Přihlaste se k Graph Exploreru.
Jako metodu HTTP vyberte GET.
Jako verzi rozhraní API vyberte BETA.
Spusťte tento dotaz:

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

Odpověď (zkrácená):

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

Konfigurace nastavení diagnostiky pro export protokolů

Integrace protokolů s nástrojem SIEM, jako je Log Analytics, se konfiguruje prostřednictvím nastavení diagnostiky v Microsoft Entra ID. Tento proces je podrobně popsaný v článku Konfigurace nastavení diagnostiky Microsoft Entra pro protokoly aktivit.

Ke konfiguraci nastavení diagnostiky potřebujete:

Přístup správce zabezpečení.
Pracovní prostor služby Log Analytics.

Základní kroky konfigurace nastavení diagnostiky jsou následující:

Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.
Přejděte do nastavení diagnostiky stavu a>monitorování identit>.
Všechna existující nastavení diagnostiky se zobrazí v tabulce. Pokud chcete změnit existující nastavení, vyberte Upravit nastavení nebo vyberte Přidat nastavení diagnostiky a vytvořte nové nastavení.
Zadejte název.
RemoteNetworkHealthLogs Vyberte (a všechny další protokoly), které chcete zahrnout.
Vyberte cíle, na které chcete protokoly odeslat.
V rozevíracích nabídkách, které se zobrazí, vyberte předplatné a cíl.
Vyberte tlačítko Uložit.

Poznámka:

Může trvat až tři dny, než se protokoly začnou zobrazovat v cíli.

Po směrování protokolů do Log Analytics můžete využít následující funkce:

Vytvořte pravidla upozornění, která můžou dostávat oznámení o věcech, jako je selhání tunelu BGP.
- Další informace najdete v tématu Vytvoření pravidla upozornění.
Vizualizujte data pomocí sešitu Azure pro Microsoft Entra (probíraný v další části).
Integrujte protokoly s Microsoft Sentinelem pro analýzu zabezpečení a analýzu hrozeb.
- Další informace najdete v rychlém startu onboardingu Microsoft Sentinelu .

Analýza protokolů pomocí sešitu

Azure Workbooks for Microsoft Entra poskytují vizuální znázornění vašich dat. Jakmile nakonfigurujete pracovní prostor služby Log Analytics a nastavení diagnostiky pro integraci protokolů se službou Log Analytics, můžete pomocí sešitu analyzovat data prostřednictvím těchto výkonných nástrojů.

Podívejte se na tyto užitečné zdroje informací o sešitech:

Stáhnout protokoly

Tlačítko Stáhnout je k dispozici ve všech protokolech, a to jak v rámci globálního zabezpečeného přístupu, tak v rámci monitorování a stavu Microsoft Entra. Protokoly si můžete stáhnout jako soubor JSON nebo CSV. Další informace naleznete v tématu Stažení protokolů.

Pokud chcete výsledky protokolů zúžit, vyberte Přidat filtr. Filtrovat můžete podle:

Popis
ID vzdálené sítě
Zdrojová IP adresa
Cílová IP adresa
Počet inzerovaných tras protokolu BGP

Následující tabulka popisuje všechna pole v protokolech stavu vzdálené sítě.

Název	Popis
Datum vytvoření	Čas původního generování událostí
Zdrojová IP adresa	IP adresa CPE. Dvojice zdrojových IP/cílových IP adres je pro každý tunel IPsec jedinečná.
Cílová IP adresa	IP adresa brány Microsoft Entra. Dvojice zdrojových IP/cílových IP adres je pro každý tunel IPsec jedinečná.
Stav	Tunel připojený: Tato událost se vygeneruje při úspěšném navázání tunelu IPsec. Odpojené tunelové propojení: Tato událost se vygeneruje při odpojení tunelu IPsec. Připojeno protokolem BGP: Tato událost se vygeneruje při úspěšném navázání připojení protokolu BGP. Odpojeno protokolem BGP: Tato událost se vygeneruje, když dojde k výpadku připojení protokolu BGP. Vzdálená síť naživu: Tato periodická statistika se generuje každých 15 minut pro všechny aktivní tunely.
Popis	Volitelný popis události.
Počet inzerovaných tras protokolu BGP	Volitelný počet tras protokolu BGP inzerovaných přes tunel IPsec. Tato hodnota je 0 pro události odpojené tunelem, odpojené tunelové propojení, připojené protokolem BGP a odpojené události protokolu BGP.
Odeslané bajty	Volitelný počet bajtů odeslaných ze zdroje do cíle přes tunel během posledních 15 minut. Tato hodnota je 0 pro události odpojené tunelem, odpojené tunelové propojení, připojené protokolem BGP a odpojené události protokolu BGP.
Přijaté bajty	Volitelný počet bajtů přijatých zdrojem z cíle v tunelu během posledních 15 minut. Tato hodnota je 0 pro události odpojené tunelem, odpojené tunelové propojení, připojené protokolem BGP a odpojené události protokolu BGP.
ID vzdálené sítě	ID vzdálené sítě, ke které je tunel přidružený.

Sdílet prostřednictvím