Que sont les journaux d’intégrité de réseau distant ?

Les réseaux distants, tels que ceux des filiales, s’appuient sur l’équipement local du client (CPE) pour connecter les utilisateurs qui s’y trouvent aux ressources et services en ligne dont ils ont besoin. Les utilisateurs s’attendent à ce que l’équipement local du client (CPE) fonctionne pour pouvoir effectuer leur travail. Pour que tout le monde soit connecté, vous devez vérifier l’intégrité du tunnel IPsec ainsi que la publication de la route BGP (Border Gateway Protocol). Ce tunnel et ces informations de routage à long terme sont les clés de l’intégrité de votre réseau distant.

Cet article décrit plusieurs méthodes d’accès et d’analyse des journaux d’intégrité du réseau distant.

• Journaux d’accès dans le centre d’administration Microsoft Entra ou l’API Microsoft Graph
• Exporter des journaux vers Log Analytics ou un outil de gestion des informations et des événements de sécurité (SIEM)
• Analyser les journaux à l’aide d’un classeur Azure pour Microsoft Entra
• Télécharger les journaux pour le stockage à long terme

Prérequis

Pour afficher les journaux d’intégrité du réseau distant dans le centre d’administration Microsoft Entra, vous avez besoin des éléments suivants :

• L’un des rôles suivants : Administrateur Accès global sécurisé ou Administrateur de la sécurité.
• Le produit nécessite une licence. Pour plus de détails, consultez la section sur les licences dans Qu’est-ce que l’accès global sécurisé ?. Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’essai gratuit.
• Des rôles distincts sont nécessaires pour accéder aux journaux avec l’API Microsoft Graph et l’intégration à Log Analytics et aux classeurs Azure.

Afficher les journaux

Pour voir les journaux d’intégrité de réseau distant, vous pouvez utiliser le Centre d’administration Microsoft Entra ou l’API Microsoft Graph.

Centre d'administration Microsoft Entra

Pour voir les journaux d’intégrité de réseau distant dans le Centre d’administration Microsoft Entra :

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur d’accès sécurisé global.

2. Accédez à Accès global sécurisé>Effectuer du monitoring>Journaux d’intégrité du réseau distant.

   

API Microsoft Graph

Vous pouvez visualiser et gérer les journaux d’intégrité de réseau distant Accès global sécurisé à l’aide de Microsoft Graph sur le point de terminaison /beta.

Vous avez besoin de l’une des autorisations suivantes pour accéder aux journaux avec l’API Microsoft Graph :

• Directory.ReadWrite.All
• NetworkAccess.Read.All
• NetworkAccess.ReadWrite.All
• NetworkAccess-Reports.Read.All

Pour accéder aux journaux d’intégrité du réseau distant avec l’API Microsoft Graph :

1. Connectez-vous à l’explorateur graphique.
2. Sélectionnez GET pour la méthode HTTP.
3. Sélectionnez BÊTA comme version de l’API.
4. Exécutez la requête suivante :

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

Réponse (tronquée) :

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

Configurer des paramètres de diagnostic pour exporter des journaux

L’intégration des journaux à un outil SIEM tel que Log Analytics est configurée via les paramètres de diagnostic dans Microsoft Entra ID. Ce processus est abordé en détail dans l’article Configurer les paramètres de diagnostic Microsoft Entra pour les journaux d’activité.

Pour configurer les paramètres de diagnostic, il vous faut ce qui suit :

• Accès Administrateur de la sécurité.
• Un espace de travail Log Analytics.

Les étapes de base pour configurer les paramètres de diagnostic sont les suivantes :

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

2. Accédez à Identité>Surveillance et intégrité>Paramètres de diagnostic.

3. Tous les paramètres de diagnostic existants apparaissent dans le tableau. Sélectionnez Modifier les paramètres pour modifier un paramètre existant, ou sélectionnez Ajouter un paramètre de diagnostic pour créer un paramètre.

4. Donnez-lui un nom.

5. Sélectionnez les RemoteNetworkHealthLogs (et les autres journaux) que vous souhaitez inclure.

   

6. Sélectionnez les destinations auxquelles vous souhaitez envoyer les journaux.

7. Sélectionnez l’abonnement et la destination dans les menus déroulants qui s’affichent.

8. Cliquez sur le bouton Enregistrer.

Remarque

L’affichage des journaux d'activité dans la destination peut prendre jusqu’à trois jours.

Une fois que vos journaux sont routés vers Log Analytics, vous pouvez tirer parti des fonctionnalités suivantes :

• Créer des règles d’alerte pour être averti en cas de défaillance d’un tunnel BGP, par exemple.
  • Pour plus d’informations, consultez Créer une règle d’alerte.
• Visualiser les données avec un classeur Azure pour Microsoft Entra (décrit dans la section suivante).
• Intégrer les journaux à Microsoft Sentinel pour l’analytique de sécurité et la veille des menaces.
  • Pour plus d’informations, suivez le guide de démarrage rapide Intégrer Microsoft Sentinel.

Analyser les journaux avec un classeur

Les classeurs Azure pour Microsoft Entra fournissent une représentation visuelle de vos données. Une fois que vous avez configuré un espace de travail Log Analytics et des paramètres de diagnostic pour intégrer vos journaux à Log Analytics, vous pouvez utiliser un classeur pour analyser les données via ces puissants outils.

Consultez ces ressources utiles pour les classeurs :

• Créer un classeur Azure
• Comment utiliser des classeurs d’identité
• Créer une alerte de classeur

Télécharger les journaux

Un bouton Télécharger est disponible sur tous les journaux, à la fois dans Global Secure Access et Monitoring et Intégrité de Microsoft Entra. Vous pouvez télécharger les journaux sous forme de fichier JSON ou CSV. Pour plus d’informations, consultez Guide pratique pour télécharger les journaux.

Pour affiner les résultats relatifs aux journaux, sélectionnez Ajouter un filtre. Vous pouvez filtrer par :

• Description
• ID de réseau distant
• IP Source
• IP de destination
• Nombre de routes BGP publiées

Le tableau suivant décrit chacun des champs des journaux d’intégrité de réseau distant.

Nom	Description
Date/Heure de création	Heure de la génération de l’événement d’origine
Adresse IP source	Adresse IP de l’équipement local du client (CPE). La paire d’adresses, IP source/IP de destination, est unique pour chaque tunnel IPsec.
Adresse IP de destination	Adresse IP de la passerelle Microsoft Entra. La paire d’adresses, IP source/IP de destination, est unique pour chaque tunnel IPsec.
État	Tunnel connecté : cet événement est généré lorsqu’un tunnel IPsec est correctement établi. Tunnel déconnecté : cet événement est généré lorsqu’un tunnel IPsec est déconnecté. BGP connecté : cet événement est généré lorsqu’une connectivité BGP est établie avec succès. BGP déconnecté : cet événement est généré lorsqu’une connectivité BGP tombe en panne. Réseau distant actif : cette statistique périodique est générée toutes les 15 minutes pour tous les tunnels actifs.
Description	Description facultative de l’événement.
Nombre de routes BGP publiées	Nombre facultatif de routes BGP publiées sur le tunnel IPsec. Cette valeur est 0 pour les événements Tunnel connecté, Tunnel déconnecté, BGP connecté et BGP déconnecté.
Octets envoyés	Nombre facultatif d’octets envoyés de la source à la destination via un tunnel au cours des 15 dernières minutes. Cette valeur est 0 pour les événements Tunnel connecté, Tunnel déconnecté, BGP connecté et BGP déconnecté.
Octets reçus	Nombre facultatif d’octets reçus par la source depuis la destination via un tunnel au cours des 15 dernières minutes. Cette valeur est 0 pour les événements Tunnel connecté, Tunnel déconnecté, BGP connecté et BGP déconnecté.
ID de réseau distant	ID du réseau distant auquel le tunnel est associé.

Étapes suivantes

• Activer les journaux Microsoft 365 enrichis
• Explorer les journaux de trafic Accès global sécurisé (préversion)