A Global Secure Access által bővített Microsoft 365-naplók használata
A Microsoft Entra magánhálózati internetszolgáltatáson áthaladó Microsoft-forgalma révén szeretne betekintést nyerni a szervezet által használt Microsoft 365-alkalmazások teljesítményébe, élményébe és rendelkezésre állásába. A bővített Microsoft 365-naplók biztosítják azokat az információkat, amelyekre szüksége van ezeknek az elemzéseknek a megszerzéséhez. A naplókat integrálhatja egy külső biztonsági információ- és eseménykezelő (SIEM) eszközzel a további elemzéshez.
Ez a cikk a naplókban szereplő információkat és azok exportálását ismerteti.
Előfeltételek
A bővített naplók használatához a következő szerepkörökre, konfigurációkra és előfizetésekre van szüksége:
Szerepkörök és engedélyek
- A bővített Microsoft 365-naplók engedélyezéséhez globális rendszergazdai szerepkör szükséges.
- A termék licencelést igényel. További részletekért tekintse meg a Mi a globális biztonságos hozzáférés licencelési szakaszát. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.
- A Microsoft forgalomtovábbítási profiljának használatához microsoft 365 E3-licenc használata ajánlott.
Konfigurációk
- Microsoft-profil – Győződjön meg arról, hogy a Microsoft-profil engedélyezve van. A Microsoft forgalomtovábbítási profilja szükséges a Microsoft 365-szolgáltatások felé irányuló forgalom rögzítéséhez, ami alapvető fontosságú a naplók bővítéséhez.
- Microsoft 365 Common and Office Online Traffic Policy – A naplók bővítéséhez szükséges. Győződjön meg arról, hogy engedélyezve van.
- Bérlői adatok küldése – Megerősíti, hogy a továbbítási profilokban konfigurált forgalom pontosan bújtatott a Global Secure Access szolgáltatásba.
- Diagnosztikai beállítások konfigurálása – A Microsoft Entra diagnosztikai beállításainak beállítása a naplók egy kijelölt végpontra, például egy Log Analytics-munkaterületre való csatornázásához. Az egyes végpontok követelményei eltérnek, és a jelen cikk Diagnosztikai beállítások konfigurálása szakaszában találhatók.
Előfizetések
- A termék licencelést igényel. További részletekért tekintse meg a Mi a globális biztonságos hozzáférés licencelési szakaszát. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.
- Microsoft 365 E3-licenc – A Microsoft forgalomtovábbítási profiljának használatához ajánlott.
A diagnosztikai beállítások konfigurálása előtt konfigurálnia kell a végpontot arra a helyre, ahová a naplókat át szeretné irányítani. Az egyes végpontok követelményei eltérőek, és a Diagnosztikai beállítások konfigurálása szakaszban találhatók.
A naplók által biztosítottak
A bővített Microsoft 365-naplók információkat nyújtanak a Microsoft 365 számítási feladatairól, így áttekintheti a Microsoft 365-alkalmazásokhoz kapcsolódó hálózati diagnosztikai adatokat, teljesítményadatokat és biztonsági eseményeket. Ha például a Microsoft 365-höz való hozzáférés le van tiltva a szervezet egy felhasználója számára, meg kell tudnia, hogyan csatlakozik a felhasználó eszköze a hálózathoz.
Ezek a naplók a következők:
- Továbbfejlesztett késés
- További információk az eredeti naplókhoz
- Pontos IP-cím
Ezek a naplók a Microsoft 365-naplókban elérhető naplók egy részét képezik. A naplók további információkkal bővülnek, beleértve az eszközazonosítót, az operációs rendszert és az eredeti IP-címet. A bővített SharePoint-naplók információt nyújtanak a letöltött, feltöltött, törölt, módosított vagy újrahasznosított fájlokról. A törölt vagy újrahasznosított listaelemek is szerepelnek a bővített naplókban.
A naplók megtekintése
A bővített Microsoft 365-naplók megtekintése kétlépéses folyamat. Először engedélyeznie kell a naplók globális biztonságos hozzáférésből való bővítését. Másodszor konfigurálnia kell a Microsoft Entra diagnosztikai beállításait, hogy a naplókat egy végponthoz, például egy Log Analytics-munkaterülethez irányíthassa.
Feljegyzés
Jelenleg csak SharePoint Online-naplók érhetők el a naplók bővítéséhez.
A naplók bővítésének engedélyezése
A Bővített Microsoft 365-naplók engedélyezése:
- Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.
- Tallózással keresse meg a globális biztonságos hozzáférési>beállítások>naplózását.
- Válassza ki az engedélyezni kívánt Microsoft 365-naplók típusát.
- Válassza a Mentés lehetőséget.
A bővített naplók akár 72 órát is igénybe vesznek a szolgáltatással való teljes integrációhoz.
Diagnosztikai beállítások konfigurálása
A bővített Microsoft 365-naplók megtekintéséhez exportálnia vagy streamelnie kell a naplókat egy végpontra, például Egy Log Analytics-munkaterületre vagy egy SIEM-eszközre. A végpontot konfigurálni kell, mielőtt konfigurálhatja a diagnosztikai beállításokat.
Végpont konfigurálása
A naplók Log Analytics-lel való integrálásához Log Analytics-munkaterületre van szükség.
Ha naplókat szeretne streamelni egy SIEM-eszközre, létre kell hoznia egy Azure-eseményközpontot és egy eseményközpont-névteret.
A naplók tárfiókba való archiválásához szüksége van egy Azure Storage-fiókra, amelyhez rendelkezik
ListKeys
engedélyekkel.
Naplók küldése végpontra
A végpont létrehozásával konfigurálhatja a diagnosztikai beállításokat.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.
Tallózással keresse meg az Identitásfigyelés>& Állapotdiagnosztikai>beállításokat.
Válassza a Diagnosztikai beállítás hozzáadása lehetőséget.
Adjon nevet a diagnosztikai beállításnak.
Válassza ki
EnrichedOffice365AuditLogs
.Válassza ki a naplók elküldéséhez szükséges céladatokat . Válassza ki az alábbi célhelyeket vagy az összeset. A kijelöléstől függően további mezők jelennek meg.
- Küldés a Log Analytics-munkaterületre: Válassza ki a megfelelő részleteket a megjelenő menükből.
- Archiválás tárfiókba: Adja meg, hogy hány napig szeretné megőrizni az adatokat a naplókategóriák mellett megjelenő Adatmegőrzési napok mezőben. Válassza ki a megfelelő részleteket a megjelenő menükből.
- Streamelés eseményközpontba: Válassza ki a megfelelő részleteket a megjelenő menükből.
- Küldés partnermegoldásnak: Válassza ki a megfelelő részleteket a megjelenő menükből.
Az alábbi példa a bővített naplók Log Analytics-munkaterületre való elküldése, amelyhez ki kell választania az Előfizetés és a Log Analytics munkaterületet a megjelenő menükből.