Freigeben über


Verwenden der angereicherten Microsoft 365-Protokolle für globalen sicheren Zugriff (Vorschau)

Da Ihr Microsoft 365-Datenverkehr über den Microsoft Entra Private Internet-Dienst fließt, möchten Sie Erkenntnisse zur Leistung, zur Umgebung und zur Verfügbarkeit der Microsoft 365-Apps erhalten, die Ihre Organisation verwendet. Die angereicherten Microsoft 365-Protokolle enthalten die Informationen, die Sie benötigen, um diese Erkenntnisse zu gewinnen. Sie können die Protokolle zur weiteren Analyse in ein SIEM-Tool (Security Information and Event Management, Verwaltung von sicherheitsrelevanten Informationen und Ereignissen) eines Drittanbieters integrieren.

In diesem Artikel werden die Informationen in den Protokollen und deren Export beschrieben.

Voraussetzungen

Um die angereicherten Protokolle verwenden zu können, benötigen Sie die folgenden Rollen, Konfigurationen und Abonnements:

Rollen und Berechtigungen

  • Die Rolle Globaler Administrator ist erforderlich, um die angereicherten Microsoft 365-Protokolle zu aktivieren.
  • Für die Vorschau ist eine Microsoft Entra ID P1-Lizenz erforderlich. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
  • Zur Verwendung des Microsoft 365-Profils für die Datenverkehrsweiterleitung wird eine Microsoft 365 E3-Lizenz empfohlen.

Konfigurationen

  • Microsoft 365-Profil: Stellen Sie sicher, dass das Microsoft 365-Profil aktiviert ist. Microsoft Entra Internet Access ist erforderlich, um Datenverkehr, der an Microsoft 365-Dienste gerichtet ist, zu erfassen, was für die Protokollerweiterung von grundlegender Bedeutung ist.
  • Microsoft 365 Common and Office Online Traffic Policy: Erforderlich für die Protokollanreicherung. Stellen Sie sicher, dass sie aktiviert ist.
  • Senden von Daten durch Den Mandanten: Bestätigt, dass Datenverkehr, wie in Weiterleitungsprofilen konfiguriert, exakt in den globalen Dienst für den sicheren Zugriff getunnelt wird.
  • Konfiguration von Diagnoseeinstellungen: Richten Sie Microsoft Entra-Diagnoseeinstellungen ein, um die Protokolle an einen bestimmten Endpunkt zu kanalisieren, z. B. einen Log Analytics-Arbeitsbereich. Die Anforderungen für jeden Endpunkt unterscheiden sich und werden im Abschnitt Diagnoseeinstellungen konfigurieren in diesem Artikel beschrieben.

Abonnements

  • Microsoft Entra ID P1-Lizenz: Erforderlich für den Vorschauzugriff. Der Kauf oder Erwerb von Testlizenzen ist bei Bedarf eine Option.
  • Microsoft 365 E3-Lizenz: Empfohlen für die Verwendung des Microsoft 365-Datenverkehrsweiterleitungsprofils.

Sie müssen den Endpunkt konfigurieren, für den Sie die Protokolle weiterleiten möchten, bevor Sie Diagnoseeinstellungen konfigurieren. Die Anforderungen für die einzelnen Endpunkte variieren und werden im Abschnitt Konfigurieren von Diagnoseeinstellungen beschrieben.

In den Protokollen enthaltene Informationen

Die angereicherten Microsoft 365-Protokolle enthalten Informationen zu Microsoft 365-Workloads, sodass Sie Netzwerkdiagnosedaten, Leistungsdaten und Sicherheitsereignisse überprüfen können, die für Microsoft 365-Apps relevant sind. Wenn beispielsweise der Zugriff auf Microsoft 365 für eine*n Benutzer*in in Ihrer Organisation blockiert ist, benötigen Sie Einblick in die Verbindung zwischen dem Benutzergerät und Ihrem Netzwerk.

Diese Protokolle bieten Folgendes:

  • Kürzere Wartezeit
  • Zusätzliche Informationen zu ursprünglichen Protokollen hinzugefügt
  • Exakte IP-Adresse

Diese Protokolle sind eine Teilmenge der Protokolle, die in den Microsoft 365-Überwachungsprotokollen verfügbar sind. Die Protokolle werden mit zusätzlichen Informationen angereichert, einschließlich der Geräte-ID, des Betriebssystems und der ursprünglichen IP-Adresse. Angereicherte SharePoint-Protokolle enthalten Informationen zu Dateien, die heruntergeladen, hochgeladen, gelöscht, geändert oder wiederverwendet wurden. Gelöschte oder wiederverwendete Listenelemente sind ebenfalls in den angereicherten Protokollen enthalten.

Anzeigen der Protokolle

Das Anzeigen der angereicherten Microsoft 365-Protokolle ist ein zweistufiger Prozess. Zunächst müssen Sie die Protokollanreicherung über globalen sicheren Zugriff aktivieren. Zweitens müssen Sie Microsoft Entra-Diagnoseeinstellungen konfigurieren, um die Protokolle an einen Endpunkt, z. B. einen Log Analytics-Arbeitsbereich, weiterzuleiten.

Hinweis

Derzeit sind nur SharePoint Online-Protokolle für die Protokollanreicherung verfügbar.

Aktivieren der Protokollanreicherung

So aktivieren Sie die angereicherten Microsoft 365-Protokolle

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.

  2. Navigieren Sie zu Globaler sicherer Zugriff (Vorschau)>Globale Einstellungen>Protokollierung.

  3. Wählen Sie den Typ der Microsoft 365-Protokolle aus, die Sie aktivieren möchten.

  4. Wählen Sie Speichern aus.

    Screenshot of the Logging area of Global Secure Access.

Die vollständige Integration der angereicherten Protokolle in den Dienst kann bis zu 72 Stunden dauern.

Konfigurieren von Diagnoseeinstellungen

Um die angereicherten Microsoft 365-Protokolle anzuzeigen, müssen Sie die Protokolle exportieren oder an einen Endpunkt streamen, z. B. einen Log Analytics-Arbeitsbereich oder ein SIEM-Tool. Der Endpunkt muss konfiguriert werden, bevor Sie Diagnoseeinstellungen konfigurieren können.

Konfigurieren eines Endpunkts

Senden von Protokollen an einen Endpunkt

Nachdem Ihr Endpunkt erstellt wurde, können Sie Diagnoseeinstellungen konfigurieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Browsen Sie zu Identität>Überwachung & Integrität>Diagnoseeinstellungen.

  3. Wählen Sie Diagnoseeinstellung hinzufügen aus.

  4. Benennen Sie die Diagnoseeinstellung.

  5. Wählen Sie EnrichedOffice365AuditLogs aus.

  6. Wählen Sie in den Zieldetails aus, wohin Sie die Protokolle senden möchten. Wählen Sie eines oder alle der folgenden Ziele. Je nach Auswahl werden mehr Felder angezeigt.

    • An Log Analytics-Arbeitsbereich senden: Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.
    • In einem Speicherkonto archivieren: Geben Sie in den Feldern für Aufbewahrungstage neben den Protokollkategorien die Anzahl der Tage an, die die Daten aufbewahrt werden sollen. Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.
    • An einen Event Hub streamen: Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.
    • An eine Partnerlösung streamen: Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.

Im folgenden Beispiel werden die angereicherten Protokolle an einen Log Analytics-Arbeitsbereich gesendet. Dafür müssen Sie das Abonnement und den Log Analytics-Arbeitsbereich in den angezeigten Menüs auswählen.

Screenshot of the Microsoft Entra diagnostic settings, with the enriched logs and Log Analytics options highlighted.

Nutzungsbedingungen

Ihre Verwendung der Vorschauumgebungen und Features von Microsoft Entra-Privatzugriff und Microsoft Entra-Internetzugriff unterliegt den Bestimmungen für Onlinedienste (Vorschau), unter denen Sie die Dienste erworben haben. Vorschauversionen unterliegen möglicherweise eingeschränkten oder abweichenden Sicherheits-, Compliance- und Datenschutzverpflichtungen, wie in Allgemeine Lizenzbedingungen für Onlinedienste und im Nachtrag zum Datenschutz in Verbindung mit Produkten und Diensten von Microsoft sowie allen anderen mit der Vorschau bereitgestellten Hinweisen näher erläutert.

Nächste Schritte