So verwenden Sie die Global Secure Access-Datenverkehrsprotokolle (Vorschau)

Die Überwachung des Datenverkehrs für den globalen sicheren Zugriff ist eine wichtige Aktivität, um sicherzustellen, dass Ihr Mandant ordnungsgemäß konfiguriert ist und dass Ihre Benutzer die bestmögliche Erfahrung erzielen. Die Global Secure Access-Datenverkehrsprotokolle (Vorschau) bieten Einblicke darüber, wer auf welche Ressourcen zugreift, von wo aus sie darauf zugreifen und welche Aktion ausgeführt wurde.

In diesem Artikel wird beschrieben, wie Sie die Datenverkehrsprotokolle für den globalen sicheren Zugriff verwenden.

Voraussetzungen

• Die Rolle Administrator für globalen sicheren Zugriff in Microsoft Entra ID.
• Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.

Funktionsweise der Datenverkehrsprotokolle

Die Protokolle für globalen sicheren Zugriff enthalten Details zu Ihrer Netzwerkauslastung. Um diese Details besser zu verstehen und um zu sehen, wie Sie diese Details analysieren können, um Ihre Umgebung zu überwachen, ist es hilfreich, sich die drei Ebenen der Protokolle und ihre Beziehung zueinander betrachten.

Ein Benutzer, der auf eine Website zugreift, stellt eine Sitzung dar. Innerhalb dieser Sitzung kann es dann mehrere Verbindungen geben, und innerhalb dieser Verbindung mehrere Transaktionen.

• Sitzung: Eine Sitzung wird durch die erste URL identifiziert, auf die ein Benutzer zugreift. Diese Sitzung könnte dann viele Verbindungen herstellen, z. B. eine Nachrichtenwebsite, die mehrere Anzeigen von mehreren verschiedenen Websites enthält.
• Verbindung: Eine Verbindung umfasst die Quell- und Ziel-IP, den Quell- und Zielport sowie den vollqualifizierten Domänennamen (FQDN). Die Verbindungskomponenten umfassen das 5-Tupel.
• Transaktion: Eine Transaktion ist ein eindeutiges Anforderungs- und Antwortpaar.

In jeder Protokollinstanz können Sie die Verbindungs-ID und Transaktions-ID in den Details sehen. Mithilfe der Filter können Sie sich alle Verbindungen und Transaktionen für eine einzelne Sitzung ansehen.

Anzeigen der Datenverkehrsprotokolle

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
2. Global Secure Access>Monitor>Traffic Logs.

Oben auf der Seite finden Sie eine Zusammenfassung aller Transaktionen sowie eine Aufschlüsselung für jede Art von Datenverkehr. Wählen Sie die Schaltflächen für Microsoft 365 oder den Privatzugriff aus, um die Protokolle nach den einzelnen Datenverkehrstypen zu filtern.

Hinweis

Derzeit sind die Sitzungs-ID-Informationen in den Protokolldetails nicht verfügbar.

Anzeigen der Protokolldetails

Wählen Sie ein beliebiges Protokoll aus der Liste, um die Details zu sehen. Diese Details liefern wertvolle Informationen, die zum Filtern der Protokolle nach bestimmten Details oder zur Fehlersuche in einem Szenario verwendet werden können. Die Details können als Spalte hinzugefügt und zum Filtern der Protokolle verwendet werden.

Filter- und Spaltenoptionen

Die Datenverkehrsprotokolle können viele Details bereitstellen, sodass anfangs nur einige Spalten sichtbar sind. Aktivieren und deaktivieren Sie die Spalten basierend auf den von Ihnen ausgeführten Analyse- oder Problembehandlungsaufgaben, da die Protokolle möglicherweise schwer anzuzeigen sind, wenn zu viele Spalten ausgewählt werden. Die Spalten- und Filteroptionen sind auf die einzelnen Elemente in den Aktivitätsdetails ausgerichtet.

Wählen Sie Spalten oben auf der Seite aus, um die angezeigten Spalten zu ändern.

Um die Datenverkehrsprotokolle in ein bestimmtes Detail zu filtern, wählen Sie die Schaltfläche Filter hinzufügen aus, und geben Sie dann das Detail ein, nach dem Sie filtern möchten.

Beispiel: Wenn Sie alle Protokolle aus einer bestimmten Verbindung betrachten möchten:

1. Wählen Sie das Protokolldetails aus, und kopieren Sie die connectionId aus den Aktivitätsdetails.

2. Wählen Sie Filter hinzufügen und dann Verbindungs-ID.

3. Fügen Sie in dem daraufhin angezeigten Feld die connectionId ein und wählen Sie Anwenden aus.

   

Problembehandlungsszenarien

Die folgenden Details können für die Problembehandlung und Analyse hilfreich sein:

• Wenn Sie an der Größe des gesendeten und empfangenen Datenverkehrs interessiert sind, aktivieren Sie die Spalten Gesendete Bytes und Empfangene Bytes. Wählen Sie die Spaltenüberschrift aus, um die Protokolle nach ihrer Größe zu sortieren.
• Wenn Sie die Netzwerkaktivität für einen riskanten Benutzer überprüfen, können Sie die Ergebnisse nach dem Benutzerprinzipalnamen filtern und dann die Websites überprüfen, auf die sie zugreifen.
• Wenn Sie nach Datenverkehr zu den Arten von Websites suchen möchten, die Sie blockieren oder zulassen möchten, aktivieren Sie die Spalte Webkategorie.

Die Protokolldetails liefern wertvolle Informationen zu Ihrem Netzwerkdatenverkehr. Nicht alle Details sind in der nachstehenden Liste definiert, aber die folgenden Details sind nützlich für die Problembehandlung und Analyse:

• Transaktions-ID: Eindeutiger Bezeichner, der das Anforderungs-/Antwortpaar darstellt.
• Verbindungs-ID: Eindeutiger Bezeichner, der die Verbindung darstellt, die das Protokoll initiiert hat.
• Gerätekategorie: Gerätetyp, von dem die Transaktion initiiert wurde. Entweder Client oder Remote-Netzwerk.
• Aktion: Die für die Netzwerksitzung vorgenommene Aktion. Entweder Zugelassen oder Verweigert.

Konfigurieren von Diagnoseeinstellungen zum Generieren von Exportprotokollen

Sie können die Global Secure Access-Datenverkehrsprotokolle (Vorschau) zu einem Endpunkt exportieren, um weitere Analysen und Warnungen zu erhalten. Diese Integration ist in den Microsoft Entra-Diagnoseeinstellungen konfiguriert.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Browsen Sie zu Identität>Überwachung & Integrität>Diagnoseeinstellungen.

3. Wählen Sie Diagnoseeinstellung hinzufügen aus.

4. Benennen Sie die Diagnoseeinstellung.

5. Wählen Sie NetworkAccessTrafficLogs aus.

6. Wählen Sie in den Zieldetails aus, wohin Sie die Protokolle senden möchten. Wählen Sie eines oder alle der folgenden Ziele. Je nach Wahl werden zusätzliche Felder angezeigt.

   • An Log Analytics-Arbeitsbereich senden: Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.
   • In einem Speicherkonto archivieren: Geben Sie in den Feldern für Aufbewahrungstage neben den Protokollkategorien die Anzahl der Tage an, die die Daten aufbewahrt werden sollen. Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.
   • An einen Event Hub streamen: Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.
   • An eine Partnerlösung streamen: Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.

Nächste Schritte

• Mehr erfahren über das Dashboard für den Datenverkehr
• Datenverkehrsprotokolle für globalen sicheren Zugriff anzeigen
• Angereicherte Microsoft 365-Protokolle anzeigen