Comment utiliser les journaux Microsoft 365 enrichis Global Secure Access

Le trafic Microsoft transitant par le service Internet privé Microsoft Entra, vous souhaitez obtenir des informations sur les performances, l’expérience et la disponibilité des applications Microsoft 365 utilisées par votre organisation. Les journaux Microsoft 365 enrichis vous fournissent les informations dont vous avez besoin pour obtenir ces insights. Vous pouvez intégrer les journaux à un outil SIEM (Gestion des informations et des événements de sécurité) tiers pour une analyse plus approfondie.

Cet article décrit les informations contenues dans les journaux et comment les exporter.

Prérequis

Si vous souhaitez utiliser les journaux enrichis, vous avez besoin des rôles, des configurations et des abonnements suivants :

Rôles et autorisations

• Un rôle Administrateur général est requis pour activer les journaux Microsoft 365 enrichis.
• Le produit nécessite une licence. Pour plus de détails, consultez la section sur les licences dans Qu’est-ce que l’Accès global sécurisé ?. Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’essai gratuit.
• Nous recommandons une licence Microsoft 365 E3 pour utiliser le profil de transfert de trafic Microsoft.

Configurations

• Profil Microsoft – Assurez-vous que le profil Microsoft est activé. Un profil de transfert de trafic Microsoft est requis afin de capturer le trafic dirigé vers des services Microsoft 365, ce qui est essentiel pour l’enrichissement des journaux.
• Stratégie de trafic Microsoft 365 Common and Office Online – Nécessaire pour l’enregistrement de journaux. Vérifiez son activation.
• Envoi des données du tenant – Permet de confirmer que le trafic, tel que configuré dans des profils transférés, est correctement acheminé vers le service Global Secure Access.
• Configuration des paramètres de diagnostic – Configurez les paramètres de diagnostic Microsoft Entra diagnostic pour acheminer les journaux vers un point de terminaison désigné, tel qu’un espace de travail Log Analytics. Les exigences varient pour chaque point de terminaison et sont décrites dans la section Configurer les paramètres de diagnostic de cet article.

Abonnements

• Le produit nécessite une licence. Pour plus de détails, consultez la section sur les licences dans Qu’est-ce que l’Accès global sécurisé ?. Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’essai gratuit.
• Licence Microsoft 365 E3 – Recommandée pour utiliser le profil de transfert de trafic Microsoft.

Vous devez configurer le point de terminaison pour l’emplacement où vous souhaitez acheminer les journaux avant de configurer les paramètres de diagnostic. Les exigences pour chaque point de terminaison varient et sont décrites dans la section Configurer les paramètres de diagnostic.

Ce que les journaux fournissent

Les journaux Microsoft 365 enrichis fournissent des informations sur les charges de travail Microsoft 365, ce qui vous permet d’examiner les données de diagnostic réseau, les données de performances et les événements de sécurité pertinents pour les applications Microsoft 365. Par exemple, si l’accès à Microsoft 365 est bloqué pour un utilisateur de votre organisation, vous devez savoir comment l’appareil de cet utilisateur se connecte à votre réseau.

Ces journaux fournissent :

• Latence améliorée
• Informations supplémentaires ajoutées aux journaux d’origine
• Adresse IP précise

Ces journaux sont un sous-ensemble des journaux disponibles dans les journaux d’audit Microsoft 365. Les journaux sont enrichis avec d’autres informations, notamment l’ID de l’appareil, le système d’exploitation et l’adresse IP d’origine. Les journaux SharePoint enrichis fournissent des informations sur les fichiers téléchargés, chargés, supprimés, modifiés ou recyclés. Les éléments de liste supprimés ou recyclés sont également inclus dans les journaux enrichis.

Comment afficher les journaux

L’affichage des journaux Microsoft 365 enrichis est un processus en deux étapes. Tout d’abord, vous devez activer l’enrichissement des journaux à partir de Global Secure Access. Deuxièmement, vous devez configurer les paramètres de diagnostic Microsoft Entra pour acheminer les journaux vers un point de terminaison, tel qu’un espace de travail Log Analytics.

Remarque

À ce stade, seuls les journaux SharePoint Online sont disponibles pour l’enrichissement des journaux.

Activer l’enrichissement des journaux

Pour activer les journaux Microsoft 365 enrichis :

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.
2. Accédez à la journalisation Accès global sécurisé>Paramètres>Journalisation.
3. Sélectionnez le type de journaux Microsoft 365 que vous souhaitez activer.
4. Cliquez sur Enregistrer.

L’intégration complète des journaux enrichis au service prend jusqu’à 72 heures.

Configurer les paramètres de diagnostic

Pour afficher les journaux Microsoft 365 enrichis, vous devez exporter ou diffuser en continu les journaux vers un point de terminaison, tel qu’un espace de travail Log Analytics ou un outil SIEM. Le point de terminaison doit être configuré avant de pouvoir configurer les paramètres de diagnostic.

Configurer un point de terminaison

• Pour intégrer des journaux à Log Analytics, vous avez besoin d’un Espace de travail Log Analytics.

  • Créez un espace de travail Log Analytics.
  • Intégrer des journaux avec Log Analytics

• Pour diffuser les journaux vers un outil SIEM, vous devez créer un Event Hub Azure et un espace de noms Event Hub.

  • Configurer un espace de noms Event Hubs et un Event Hub.
  • Transmettre en continu des journaux d’activité vers un hub d’événements

• Pour archiver les journaux dans un compte de stockage, vous avez besoin d’un compte de stockage Azure pour lequel vous disposez d’autorisations ListKeys.

  • Création d’un compte de stockage Azure.
  • Archiver les journaux dans un compte de stockage

Envoyer des journaux vers un point de terminaison

Une fois votre point de terminaison créé, vous pouvez configurer les paramètres de diagnostic.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

2. Accédez à Identité>Surveillance et intégrité>Paramètres de diagnostic.

3. Sélectionnez Ajouter un paramètre de diagnostic.

4. Donnez un nom à votre paramètre de diagnostic.

5. Sélectionnez EnrichedOffice365AuditLogs.

6. Sélectionnez les détails de destination pour l’endroit où vous souhaitez envoyer les journaux. Choisissez l’une ou l’autre des destinations suivantes. D’autres champs s’affichent, en fonction de votre sélection.

   • Envoyer à l’espace de travail Log Analytics : Sélectionnez les détails appropriés dans les menus qui s’affichent.
   • Archivez dans un compte de stockage : Indiquez le nombre de jours pendant lesquels vous souhaitez conserver les données dans les zones Jours de rétention qui s’affichent en regard des catégories de journaux. Sélectionnez les détails appropriés dans les menus qui s’affichent.
   • Diffuser vers un hub d’événements : Sélectionnez les détails appropriés dans les menus qui s’affichent.
   • Envoyer à la solution partenaire : Sélectionnez les détails appropriés dans les menus qui s’affichent.

L’exemple suivant envoie les journaux enrichis à un espace de travail Log Analytics, ce qui nécessite de sélectionner l’abonnement et l’espace de travail Log Analytics dans les menus qui s’affichent.

Étapes suivantes

• Explorer les options de journalisation et de surveillance de Global Secure Access
• En savoir plus sur les Journaux d’audit d’accès sécurisé global (en préversion)
• Journaux d’audit Microsoft 365 enrichis