Partager via

Comment utiliser des journaux de trafic de l’Accès global sécurisé (préversion)

Le monitoring du trafic pour l’Accès global sécurisé est une activité importante pour veiller à ce que votre tenant soit configuré correctement et que vos utilisateurs bénéficient de la meilleure expérience possible. Les journaux de trafic de l’Accès global sécurisé (préversion) fournissent des insights sur les personnes qui accèdent aux ressources, les ressources ciblées, l’emplacement d’accès ainsi que les actions effectuées.

Cet article explique comment utiliser les journaux du trafic pour Global Secure Access.

Prérequis

Fonctionnement des journaux du trafic

Les journaux de l’Accès global sécurisé fournissent des détails sur votre trafic réseau. Pour mieux comprendre ces détails et la façon dont vous pouvez les analyser afin d’effectuer un monitoring de votre environnement, il est utile d’examiner les trois niveaux des journaux ainsi que leurs relations les uns avec les autres.

Un utilisateur accédant à un site web représente une session et, dans cette session, il peut y avoir plusieurs connexions, et dans cette connexion il peut y avoir plusieurs transactions.

  • Session : une session est identifiée par la première URL qu’un utilisateur accède. Cette session peut alors ouvrir de nombreuses connexions, par exemple, un site d’actualités qui contient plusieurs annonces publicitaires provenant de plusieurs sites différents.
  • Connexion : une connexion inclut l’adresse IP source et de destination, le port source et de destination et le nom de domaine complet (FQDN). Les composants de connexion comprennent le tuple à 5 éléments.
  • Transaction : une transaction est une paire de demandes et de réponses unique.

Au sein de chaque instance de journal, vous pouvez voir l’ID de connexion et l’ID de transaction dans les détails. En tirant parti de filtres, vous pouvez examiner toutes les connexions et transactions pour une session unique.

Comment voir les journaux de trafic

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant que lecteur de rapports au moins.
  2. Accès sécurisé à l'échelle mondiale>Surveillance>Journaux de trafic.

Le haut de la page affiche un résumé de toutes les transactions ainsi qu’une répartition pour chaque type de trafic. Sélectionnez les boutons Microsoft 365 ou Accès privé pour filtrer les journaux pour chaque type de trafic.

Remarque

Pour le moment, les informations relatives à l’ID de session ne sont pas disponibles dans les détails des journaux.

Afficher les informations du journal

Sélectionnez un log de la liste pour afficher les détails. Ces détails fournissent des informations précieuses qui peuvent être utilisées pour filtrer les journaux à la recherche de détails spécifiques, ou pour résoudre un problème lié à un scénario. Les détails peuvent être ajoutées sous forme de colonne et utilisées pour filtrer les journaux.

Capture d’écran de la page détails du journal du trafic.

Options de filtre et de colonne

Les journaux de trafic pouvant fournir de nombreuses informations, seules quelques colonnes sont visibles pour commencer. Activez et désactivez les colonnes en fonction des tâches d’analyse ou de résolution des problèmes que vous effectuez, car l’affichage des journaux d’activité peut être difficile si un nombre trop important de colonnes est sélectionné. Les options de colonne et de filtre s’alignent sur chaque élément dans les détails de l’activité.

Sélectionnez Colonnes en haut de la page pour modifier les colonnes affichées.

Pour filtrer les journaux de trafic vers un détail spécifique, sélectionnez le bouton Ajouter un filtre , puis entrez les détails à filtrer.

Par exemple, si vous souhaitez examiner tous les logs d’une connexion spécifique :

  1. Sélectionnez le détail de journal, puis copiez connectionId à partir des détails de l’activité.

  2. Sélectionnez Ajouter un filtre et choisissez ID de connexion.

  3. Dans le champ qui s’affiche, collez le connectionId et sélectionnez Appliquer.

    Capture d’écran du filtre de journal de trafic.

Journaux de connexion

Les journaux de connexion fournissent un résumé de toutes les transactions associées, y compris le nombre total de transactions et les transactions bloquées, ce qui permet d’identifier rapidement toutes les activités bloquées.

Une connexion représente plusieurs transactions qui se produisent au cours des 24 dernières heures et partagent le même ID de corrélation de flux. Bien que les journaux des transactions fournissent des informations détaillées sur les transactions individuelles, les journaux de connexion offrent une vue d’ensemble de niveau supérieur en agrégeant plusieurs transactions. Les connexions sont enregistrées en temps réel avec l’état Actif/Fermé, ce qui fournit aux administrateurs une visibilité du trafic en temps quasi réel.

Nous avons actuellement en préversion un nouvel onglet dans la page Journaux de trafic pour consulter les Connexions :

Capture d’écran de l’onglet Connexions dans la page Journaux du trafic.

Les transactions associées à chaque connexion sont consultées en sélectionnant l’onglet Transactions .

Scénarios de résolution des problèmes

Les informations suivantes peuvent être utiles pour l’analyse et la résolution des problèmes :

  • Si vous êtes intéressé par la taille du trafic envoyé et reçu, activez les colonnes Octets envoyés et Octets reçus . Sélectionnez l’en-tête de colonne pour trier les journaux par taille.
  • Si vous passez en revue l’activité réseau d’un utilisateur à risque, vous pouvez filtrer les résultats par nom d’utilisateur principal, puis examiner les sites auxquels il accède.
  • Pour rechercher le trafic vers les types de sites web que vous souhaitez bloquer ou autoriser, activez la colonne de catégorie Web .

Les détails des journaux fournissent des informations précieuses sur votre trafic réseau. Les détails ne sont pas tous définis dans la liste ci-dessous, mais les informations suivantes sont utiles pour l’analyse et la résolution des problèmes :

  • ID de transaction : identificateur unique représentant la paire demande/réponse.
  • ID de connexion : identificateur unique représentant la connexion qui a initié le log.
  • Catégorie d’appareil : type d’appareil à partir duquel la transaction a été lancée. Client ou réseau distant.
  • Action : action effectuée sur la session réseau. Autorisé ou refusé.

Configurer les paramètres de diagnostic pour exporter les journaux

Vous pouvez exporter les journaux de trafic de l’Accès global sécurisé (préversion) vers un point de terminaison pour une analyse et des alertes plus approfondies. Cette intégration est configurée dans les paramètres de diagnostic Microsoft Entra.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

  2. Accédez à Entra ID>Surveillance et santé>Paramètres de diagnostic.

  3. Sélectionnez Ajouter un paramètre de diagnostic.

  4. Donnez un nom à votre paramètre de diagnostic.

  5. Sélectionnez NetworkAccessTrafficLogs.

  6. Sélectionnez les détails de destination pour l’endroit où vous souhaitez envoyer les journaux. Choisissez l’une ou l’autre des destinations suivantes. Des champs supplémentaires s’affichent, en fonction de votre sélection.

    • Envoyer à l’espace de travail Log Analytics : Sélectionnez les détails appropriés dans les menus qui s’affichent.
    • Archiver dans un compte de stockage : Indiquez le nombre de jours pendant lesquels vous souhaitez conserver les données dans les zones Jours de rétention qui apparaissent en regard des catégories de journaux. Sélectionnez les détails appropriés dans les menus qui s’affichent.
    • Diffuser en continu vers un hub d’événements : Sélectionnez les détails appropriés dans les menus qui s’affichent.
    • Envoyer à la solution partenaire : Sélectionnez les détails appropriés dans les menus qui s’affichent.

Étapes suivantes