Protokolle und Überwachungsoptionen mit globalem sicheren Zugriff

  • 6 Minuten

Sie müssen die Aktivität des Datenverkehrs in Ihren Netzwerken überwachen. Protokolle für den globalen sicheren Zugriff bieten viele Datenpunkte, die Sie überprüfen können, um Erkenntnisse zum Netzwerkdatenverkehr zu gewinnen. Es gibt mehrere spezifische Protokolle, die Daten für den globalen sicheren Zugriff enthalten.

Überwachungsprotokolle für globalen sicheren Zugriff (Vorschau)

Das Microsoft Entra Überwachungsprotokoll ist eine wertvolle Informationsquelle für die Nachverfolgung und Problembehandlung von Änderungen an Ihrer Microsoft Entra-Umgebung. Änderungen im Zusammenhang mit dem globalen sicheren Zugriff werden in den Überwachungsprotokollen erfasst. Protokolle haben Kategorien, z. B. Filterrichtlinie, Weiterleitungsprofile, Remotenetzwerkverwaltung und vieles mehr.

Zugreifen auf Überwachungsprotokolle über globalen sicheren Zugriff oder das Microsoft Entra Admin Center

Über den globalen sicheren Zugriff

  1. Melden Sie sich mit einer der erforderlichen Rollen beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu „Globaler sicherer Zugriff“ > „Überwachungsprotokolle“. Die Filter werden vorab mit den Kategorien und Aktivitäten im Zusammenhang mit dem globalen sicheren Zugriff aufgefüllt.

Über Microsoft Entra-Überwachung und -Integrität

  1. Melden Sie sich mit einer der erforderlichen Rollen beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu „Identität“ > „Überwachung und Integrität“ > „Überwachungsprotokolle“.
  3. Wählen Sie den Datumsbereich aus, in dem Sie die Abfrage durchführen möchten.
  4. Öffnen Sie den Dienstfilter, und wählen Sie „Globaler sicherer Zugriff“ und dann „Anwenden“ aus.
  5. Öffnen Sie den Kategoriefilter, und wählen Sie mindestens eine der verfügbaren Optionen und dann „Anwenden“ aus.

Datenverkehrsprotokolle (Vorschau)

Die Global Secure Access-Datenverkehrsprotokolle enthalten eine Zusammenfassung der Netzwerkverbindungen und Transaktionen, die in Ihrer Umgebung auftreten. Diese Protokolle geben Aufschluss darüber, wer von wo aus auf welchen Datenverkehr zugegriffen hat, und mit welchem Ergebnis. Die Datenverkehrsprotokolle bieten eine Momentaufnahme aller Verbindungen in Ihrer Umgebung und zeigen den Datenverkehr, der für Ihre Datenverkehrsweiterleitungsprofile gilt. Die Protokolldetails enthalten das Ziel des Datenverkehrstyps, die Quell-IP-Adresse und vieles mehr. Um diese Details besser zu verstehen, ist es hilfreich, sich die drei Ebenen der Protokolle und ihre Beziehung zueinander anzusehen.

Ein Benutzer, der auf eine Website zugreift, stellt eine Sitzung dar. Innerhalb dieser Sitzung kann es mehrere Verbindungen geben, und innerhalb dieser Verbindung kann es mehrere Transaktionen geben.

  • Sitzung: Eine Sitzung beginnt mit der ersten URL, auf die ein Benutzer zugreift. Diese Sitzung kann dann zahlreiche Verbindungen öffnen, z. B. eine Nachrichtenwebsite, die mehrere Anzeigen von mehreren verschiedenen Websites enthält.
  • Verbindung: Eine Verbindung umfasst die Quell- und Ziel-IP, den Quell- und Zielport sowie den vollqualifizierten Domänennamen (FQDN). Die Verbindungskomponenten bestehen aus dem 5-Tupel.
  • Transaktion: Eine Transaktion ist ein eindeutiges Anforderungs- und Antwortpaar.

Anzeigen der Datenverkehrsprotokolle

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
  2. „Globaler sicherer Zugriff“ > „Überwachen“ > „Datenverkehrsprotokolle“.

Für die Datenverkehrsprotokolle stehen verschiedene Filter und Exportoptionen zur Verfügung.

Angereicherte Office 365-Protokolle (Vorschau)

Die angereicherten Office 365-Protokolle bieten Ihnen die Informationen, die Sie benötigen, um Einblicke in die Leistung, die Erfahrung und die Verfügbarkeit der von Ihrer Organisation verwendeten Microsoft 365-Apps zu erhalten. Sie können die Protokolle zur weiteren Analyse in einen Log Analytics-Arbeitsbereich oder ein SIEM-Tool (Security Information and Event Management) integrieren. Die angereicherten Microsoft 365-Protokolle enthalten Informationen zu Microsoft 365-Workloads, sodass Sie Netzwerkdiagnosedaten, Leistungsdaten und Sicherheitsereignisse überprüfen können, die für Microsoft 365-Apps relevant sind. Wenn beispielsweise der Zugriff auf Microsoft 365 für eine*n Benutzer*in in Ihrer Organisation blockiert ist, benötigen Sie Einblick in die Verbindung zwischen dem Benutzergerät und Ihrem Netzwerk.

Diese Protokolle bieten Folgendes:

  • Kürzere Wartezeit
  • Zusätzliche Informationen zu ursprünglichen Protokollen hinzugefügt
  • Exakte IP-Adresse

Anzeigen der Protokolle

Das Anzeigen der angereicherten Microsoft 365-Protokolle ist ein zweistufiger Prozess. Zunächst müssen Sie die Protokollanreicherung über globalen sicheren Zugriff aktivieren. Zweitens müssen Sie Microsoft Entra-Diagnoseeinstellungen konfigurieren, um die Protokolle an einen Endpunkt, z. B. einen Log Analytics-Arbeitsbereich, weiterzuleiten.

Aktivieren der Protokollanreicherung

So aktivieren Sie die angereicherten Microsoft 365-Protokolle

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.
  2. Navigieren Sie zu „Globaler sicherer Zugriff“ > „Globale Einstellungen“ > „Protokollierung“.
  3. Wählen Sie den Typ der Microsoft 365-Protokolle aus, die Sie aktivieren möchten.
  4. Wählen Sie Speichern.

Senden von Protokollen an einen Endpunkt

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
  2. Navigieren Sie zu „Identität“ > „Überwachung und Integrität“ > „Diagnoseeinstellungen“.
  3. Wählen Sie Diagnoseeinstellung hinzufügen aus.
  4. Benennen Sie die Diagnoseeinstellung.
  5. Wählen Sie „EnrichedOffice365AuditLogs“ aus.
  6. Wählen Sie in den Zieldetails aus, wohin Sie die Protokolle senden möchten. Wählen Sie eins oder alle der folgenden Ziele aus:
    • An den Log Analytics-Arbeitsbereich senden.
    • In einem Speicherkonto archivieren.
    • An einen Event Hub streamen.
    • Senden an eine Partnerlösung.

Aufbewahrung und Speicherung von Protokollen

Datenverkehrsprotokolle und Remote-Netzwerk-Integritätsprotokolle: Diese Protokolle werden 30 Tage lang im System aufbewahrt. Dadurch haben Sie ausreichend Zeit, aktuelle Aktivitäten und Netzwerk-Integritätsstatus zu überprüfen und zu analysieren.

  • Überwachungsprotokolle: Der Aufbewahrungszeitraum für Überwachungsprotokolle variiert je nach Ihrer Microsoft Entra ID-Lizenz.
  • Office-Protokolle: Office-Protokolle werden für einen kürzeren Zeitraum bis zu 24 Stunden aufbewahrt.