A Global Secure Access által bővített Microsoft 365-naplók használata

A Microsoft Entra magánhálózati internetszolgáltatáson áthaladó Microsoft-forgalma révén szeretne betekintést nyerni a szervezet által használt Microsoft 365-alkalmazások teljesítményébe, élményébe és rendelkezésre állásába. A bővített Microsoft 365-naplók biztosítják azokat az információkat, amelyekre szüksége van ezeknek az elemzéseknek a megszerzéséhez. A naplókat integrálhatja egy külső biztonsági információ- és eseménykezelő (SIEM) eszközzel a további elemzéshez.

Ez a cikk a naplókban szereplő információkat és azok exportálását ismerteti.

Előfeltételek

A bővített naplók használatához a következő szerepkörökre, konfigurációkra és előfizetésekre van szüksége:

Szerepkörök és engedélyek

• A bővített Microsoft 365-naplók engedélyezéséhez globális rendszergazdai szerepkör szükséges.
• A termék licencelést igényel. További részletekért tekintse meg a Mi a globális biztonságos hozzáférés licencelési szakaszát. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.
• A Microsoft forgalomtovábbítási profiljának használatához microsoft 365 E3-licenc használata ajánlott.

Konfigurációk

• Microsoft-profil – Győződjön meg arról, hogy a Microsoft-profil engedélyezve van. A Microsoft forgalomtovábbítási profilja szükséges a Microsoft 365-szolgáltatások felé irányuló forgalom rögzítéséhez, ami alapvető fontosságú a naplók bővítéséhez.
• Microsoft 365 Common and Office Online Traffic Policy – A naplók bővítéséhez szükséges. Győződjön meg arról, hogy engedélyezve van.
• Bérlői adatok küldése – Megerősíti, hogy a továbbítási profilokban konfigurált forgalom pontosan bújtatott a Global Secure Access szolgáltatásba.
• Diagnosztikai beállítások konfigurálása – A Microsoft Entra diagnosztikai beállításainak beállítása a naplók egy kijelölt végpontra, például egy Log Analytics-munkaterületre való csatornázásához. Az egyes végpontok követelményei eltérnek, és a jelen cikk Diagnosztikai beállítások konfigurálása szakaszában találhatók.

Előfizetések

• A termék licencelést igényel. További részletekért tekintse meg a Mi a globális biztonságos hozzáférés licencelési szakaszát. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.
• Microsoft 365 E3-licenc – A Microsoft forgalomtovábbítási profiljának használatához ajánlott.

A diagnosztikai beállítások konfigurálása előtt konfigurálnia kell a végpontot arra a helyre, ahová a naplókat át szeretné irányítani. Az egyes végpontok követelményei eltérőek, és a Diagnosztikai beállítások konfigurálása szakaszban találhatók.

A naplók által biztosítottak

A bővített Microsoft 365-naplók információkat nyújtanak a Microsoft 365 számítási feladatairól, így áttekintheti a Microsoft 365-alkalmazásokhoz kapcsolódó hálózati diagnosztikai adatokat, teljesítményadatokat és biztonsági eseményeket. Ha például a Microsoft 365-höz való hozzáférés le van tiltva a szervezet egy felhasználója számára, meg kell tudnia, hogyan csatlakozik a felhasználó eszköze a hálózathoz.

Ezek a naplók a következők:

• Továbbfejlesztett késés
• További információk az eredeti naplókhoz
• Pontos IP-cím

Ezek a naplók a Microsoft 365-naplókban elérhető naplók egy részét képezik. A naplók további információkkal bővülnek, beleértve az eszközazonosítót, az operációs rendszert és az eredeti IP-címet. A bővített SharePoint-naplók információt nyújtanak a letöltött, feltöltött, törölt, módosított vagy újrahasznosított fájlokról. A törölt vagy újrahasznosított listaelemek is szerepelnek a bővített naplókban.

A naplók megtekintése

A bővített Microsoft 365-naplók megtekintése kétlépéses folyamat. Először engedélyeznie kell a naplók globális biztonságos hozzáférésből való bővítését. Másodszor konfigurálnia kell a Microsoft Entra diagnosztikai beállításait, hogy a naplókat egy végponthoz, például egy Log Analytics-munkaterülethez irányíthassa.

Feljegyzés

Jelenleg csak SharePoint Online-naplók érhetők el a naplók bővítéséhez.

A naplók bővítésének engedélyezése

A Bővített Microsoft 365-naplók engedélyezése:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.
2. Tallózással keresse meg a globális biztonságos hozzáférési>beállítások>naplózását.
3. Válassza ki az engedélyezni kívánt Microsoft 365-naplók típusát.
4. Válassza a Mentés lehetőséget.

A bővített naplók akár 72 órát is igénybe vesznek a szolgáltatással való teljes integrációhoz.

Diagnosztikai beállítások konfigurálása

A bővített Microsoft 365-naplók megtekintéséhez exportálnia vagy streamelnie kell a naplókat egy végpontra, például Egy Log Analytics-munkaterületre vagy egy SIEM-eszközre. A végpontot konfigurálni kell, mielőtt konfigurálhatja a diagnosztikai beállításokat.

Végpont konfigurálása

• A naplók Log Analytics-lel való integrálásához Log Analytics-munkaterületre van szükség.

  • Hozzon létre egy Log Analytics-munkaterületet.
  • Naplók integrálása a Log Analyticsszel

• Ha naplókat szeretne streamelni egy SIEM-eszközre, létre kell hoznia egy Azure-eseményközpontot és egy eseményközpont-névteret.

  • Állítson be egy Event Hubs-névteret és egy eseményközpontot.
  • Naplók streamelése eseményközpontba

• A naplók tárfiókba való archiválásához szüksége van egy Azure Storage-fiókra, amelyhez rendelkezik ListKeys engedélyekkel.

  • Azure-tárfiók létrehozása.
  • Naplók archiválása egy tárfiókba

Naplók küldése végpontra

A végpont létrehozásával konfigurálhatja a diagnosztikai beállításokat.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Tallózással keresse meg az Identitásfigyelés>& Állapotdiagnosztikai>beállításokat.

3. Válassza a Diagnosztikai beállítás hozzáadása lehetőséget.

4. Adjon nevet a diagnosztikai beállításnak.

5. Válassza ki EnrichedOffice365AuditLogs.

6. Válassza ki a naplók elküldéséhez szükséges céladatokat . Válassza ki az alábbi célhelyeket vagy az összeset. A kijelöléstől függően további mezők jelennek meg.

   • Küldés a Log Analytics-munkaterületre: Válassza ki a megfelelő részleteket a megjelenő menükből.
   • Archiválás tárfiókba: Adja meg, hogy hány napig szeretné megőrizni az adatokat a naplókategóriák mellett megjelenő Adatmegőrzési napok mezőben. Válassza ki a megfelelő részleteket a megjelenő menükből.
   • Streamelés eseményközpontba: Válassza ki a megfelelő részleteket a megjelenő menükből.
   • Küldés partnermegoldásnak: Válassza ki a megfelelő részleteket a megjelenő menükből.

Az alábbi példa a bővített naplók Log Analytics-munkaterületre való elküldése, amelyhez ki kell választania az Előfizetés és a Log Analytics munkaterületet a megjelenő menükből.

Következő lépések

• A globális biztonságos hozzáférés naplóinak és monitorozási beállításainak megismerése
• Tudnivalók a globális biztonságos hozzáférés naplózási naplóiról (előzetes verzió)
• Bővített Microsoft 365-naplók