Instrucciones para utilizar los registros de Microsoft 365 enriquecidos con Acceso global seguro

Con su tráfico de Microsoft fluyendo a través del servicio de internet privado de Microsoft Entra, desea obtener información sobre el rendimiento, la experiencia y la disponibilidad de las aplicaciones de Microsoft 365 que utiliza su organización. Los registros enriquecidos de Microsoft 365 proporcionan la información necesaria para obtener esta información. Puede integrar los registros con una herramienta de administración de eventos e información de seguridad de terceros (SIEM) para su posterior análisis.

En este artículo se describe la información de los registros y cómo exportarlos.

Requisitos previos

Para usar los registros enriquecidos, necesita los siguientes roles, configuraciones y suscripciones:

Roles y permisos

• Se requiere un rol de Administrador global para habilitar los registros enriquecidos de Microsoft 365.
• El producto requiere licencias. Para obtener más información, consulte la sección de licencias de Qué es el Acceso global seguro. Si es necesario, puede comprar una licencia u obtener licencias de prueba.
• Para usar el perfil de reenvío de tráfico de Microsoft, se recomienda una licencia de Microsoft 365 E3.

Configurations

• Perfil de Microsoft: asegúrese de que el perfil de Microsoft esté habilitado. El perfil de reenvío de tráfico de Microsoft es necesario para capturar el tráfico dirigido a los servicios de Microsoft 365, que es fundamental para el enriquecimiento de registros.
• Directiva de tráfico común de Microsoft 365 y Office Online: se requiere para el enriquecimiento de registros. Asegúrese de que está habilitado.
• Datos de envío de inquilinos: confirma que el tráfico, como se ha configurado en los perfiles de reenvío, se tunelizará con precisión al servicio acceso seguro global.
• Configuración de diagnóstico: configure la configuración de diagnóstico de Microsoft Entra para canalizar los registros a un punto de conexión designado, como un área de trabajo de Log Analytics. Los requisitos de cada punto de conexión difieren y se describen en la sección Configurar opciones de diagnóstico de este artículo.

Suscripciones

• El producto requiere licencias. Para obtener más información, consulte la sección de licencias de Qué es el Acceso global seguro. Si es necesario, puede comprar una licencia u obtener licencias de prueba.
• Licencia de Microsoft 365 E3: se recomienda para emplear el perfil de reenvío de tráfico de Microsoft.

Debe configurar el punto de conexión para el que quiera enrutar los registros antes de configurar los valores de diagnóstico. Los requisitos de cada punto de conexión varían y se describen en la sección Configurar opciones de diagnóstico.

Qué proporcionan los registros

Los registros enriquecidos de Microsoft 365 proporcionan información sobre las cargas de trabajo de Microsoft 365, por lo que puede revisar los datos de diagnóstico de red, los datos de rendimiento y los eventos de seguridad pertinentes para las aplicaciones de Microsoft 365. Por ejemplo, si el acceso a Microsoft 365 está bloqueado para un usuario de su organización, necesita visibilidad sobre cómo se conecta el dispositivo del usuario a la red.

Estos registros proporcionan:

• Latencia mejorada
• Información adicional agregada a los registros originales
• Dirección IP precisa

Estos registros son un subconjunto de los registros disponibles en los registros de auditoría de Microsoft 365. Los registros se enriquecen al agregar más información, incluido el identificador del dispositivo, el sistema operativo y la dirección IP original. Los registros de SharePoint enriquecidos proporcionan información sobre los archivos descargados, cargados, eliminados, modificados o reciclados. Los elementos de lista eliminados o reciclados también se incluyen en los registros enriquecidos.

Cómo ver los registros

Ver los registros enriquecidos de Microsoft 365 es un proceso de dos pasos. En primer lugar, debe habilitar el enriquecimiento de registros desde acceso seguro global. En segundo lugar, debe configurar Microsoft Entra configuración de diagnóstico para enrutar los registros a un punto de conexión, como un área de trabajo de Log Analytics.

Nota:

En este momento, solo los registros de SharePoint Online están disponibles para el enriquecimiento de registros.

Habilitar enriquecimiento de registros

Para habilitar los registros de Microsoft 365 enriquecidos:

1. Inicie sesión en el centro de administración de Microsoft Entra como administrador global.
2. Ve a Acceso global seguro>Configuración>Registro.
3. Seleccione el tipo de registros de Microsoft 365 que desea habilitar.
4. Seleccione Guardar.

Los registros enriquecidos tardan hasta 72 horas en integrarse completamente con el servicio.

Configuración del diagnóstico

Para ver los registros enriquecidos de Microsoft 365, debe exportar o transmitir los registros a un punto de conexión, como un área de trabajo de Log Analytics o una herramienta SIEM. El punto de conexión debe configurarse para poder configurar las opciones de diagnóstico.

Configuración de un punto de conexión

• Para integrar registros con Log Analytics, necesita un área de trabajo de Log Analytics.

  • Crear un área de trabajo de Log Analytics.
  • Integración de registros con Log Analytics

• Para transmitir registros a una herramienta SIEM, debe crear un centro de eventos de Azure y un espacio de nombres del centro de eventos.

  • Configure un espacio de nombres de Event Hubs y un centro de eventos.
  • Transmitir registros a un centro de eventos

• Para archivar los registros en una cuenta de almacenamiento, necesita una cuenta de Almacenamiento de Azure para la que tenga ListKeys permisos.

  • Creación de una cuenta de almacenamiento de Azure.
  • Archivo de registros en una cuenta de almacenamiento

Enviar registros a un punto de conexión

Con el punto de conexión creado, puede configurar las opciones de diagnóstico.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

2. Vaya a Identidad>Supervisión y estado>Configuración del diagnóstico.

3. Seleccione Agregar configuración de diagnóstico.

4. Asigne un nombre a la configuración de diagnóstico.

5. Seleccione EnrichedOffice365AuditLogs.

6. Seleccione los Detalles de destino para dónde desea enviar los registros. Elija cualquiera de los destinos siguientes, o todos ellos. Aparecen más campos, en función de la selección.

   • Enviar al área de trabajo de Log Analytics: seleccione los detalles adecuados en los menús que aparecen.
   • Archivar en una cuenta de almacenamiento: proporcione el número de días que desea conservar los datos en los cuadros Días de retención que aparecen junto a las categorías de registro. Seleccione los detalles adecuados en los menús que aparecen.
   • Transmitir a un centro de eventos: seleccione los detalles adecuados en los menús que aparecen.
   • Enviar a la solución de asociados: seleccione los detalles adecuados en los menús que aparecen.

En el ejemplo siguiente se envían los registros enriquecidos a un área de trabajo de Log Analytics, que requiere seleccionar la suscripción y el área de trabajo de Log Analytics en los menús que aparecen.

Pasos siguientes

• Explorar los registros de Global Secure Access y las opciones de monitoreo
• Más información sobre los registros de auditoría de Acceso global seguro (versión preliminar)
• Registros de auditoría enriquecidos de Microsoft 365