Megosztás a következőn keresztül:

A Globális biztonságos hozzáférés forgalmi naplóinak használata (előzetes verzió)

  • Cikk

A globális biztonságos hozzáférés forgalmának monitorozása fontos tevékenység annak biztosításához, hogy a bérlő megfelelően legyen konfigurálva, és hogy a felhasználók a lehető legjobb élményt kapják. A globális biztonságos hozzáférés forgalmi naplói (előzetes verzió) betekintést nyújtanak abba, hogy ki milyen erőforrásokhoz fér hozzá, honnan fér hozzá, és milyen művelet történt.

Ez a cikk a globális biztonságos hozzáférés forgalmi naplóinak használatát ismerteti.

Előfeltételek

  • Globális biztonságos hozzáférés-rendszergazdai szerepkör a Microsoft Entra ID-ban.
  • A termék licencelést igényel. További részletekért tekintse meg a Mi a globális biztonságos hozzáférés licencelési szakaszát. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.

A forgalmi naplók működése

A globális biztonságos hozzáférés naplói a hálózati forgalom részleteit adják meg. Ha jobban szeretné megismerni ezeket a részleteket, és hogyan elemezheti ezeket a részleteket a környezet monitorozásához, érdemes áttekinteni a naplók három szintjét és az egymáshoz való viszonyukat.

A webhelyet elérő felhasználók egy munkamenetet jelölnek, és ezen a munkameneten belül több kapcsolat is lehet, és ezen a kapcsolaton belül több tranzakció is lehet.

  • Munkamenet: A munkamenetet a felhasználó első URL-címe azonosítja. Ez a munkamenet ezután számos kapcsolatot nyithat meg, például egy híroldalt, amely több különböző webhelyről származó hirdetéseket tartalmaz.
  • Kapcsolat: A kapcsolat tartalmazza a forrás- és cél IP-címet, a forrás- és célportot, valamint a teljes tartománynevet (FQDN). A kapcsolati összetevők az 5 rekordot alkotják.
  • Tranzakció: A tranzakció egy egyedi kérés- és válaszpár.

Az egyes naplópéldányokon belül a kapcsolatazonosító és a tranzakcióazonosító látható a részletekben. A szűrők használatával egyetlen munkamenet összes kapcsolatát és tranzakcióit megtekintheti.

A forgalmi naplók megtekintése

  1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
  2. Globális biztonságos hozzáférés>monitorozza a>forgalmi naplókat.

A lap tetején megjelenik az összes tranzakció összegzése, valamint az egyes forgalomtípusok lebontása. Válassza a Microsoft 365 vagy a Privát hozzáférés gombot a naplók minden adattípusra való szűréséhez.

Feljegyzés

A munkamenet-azonosító adatai jelenleg nem érhetők el a napló részletei között.

A napló részleteinek megtekintése

A részletek megtekintéséhez válasszon ki egy naplót a listából. Ezek a részletek értékes információkat nyújtanak, amelyek felhasználhatók a naplók adott részletekre való szűrésére vagy egy forgatókönyv hibaelhárítására. A részletek oszlopként is hozzáadhatók, és a naplók szűrésére használhatók.

Képernyőkép a forgalmi napló tevékenységének részleteiről.

Szűrési és oszlopbeállítások

A forgalmi naplók számos részletet tartalmazhatnak, így csak néhány oszlopot lehet elindítani. Engedélyezze és tiltsa le az oszlopokat az elvégzett elemzési vagy hibaelhárítási feladatok alapján, mivel a naplók nehezen tekinthetők meg, ha túl sok oszlop van kiválasztva. Az oszlop- és szűrőbeállítások a Tevékenység részleteiben szereplő minden elemhez igazodnak.

A megjelenő oszlopok módosításához válassza a lap tetején lévő Oszlopok lehetőséget.

Ha a forgalmi naplókat egy adott részletre szeretné szűrni, válassza a Szűrő hozzáadása gombot, majd adja meg a szűrni kívánt adatokat.

Ha például egy adott kapcsolat összes naplójának megtekintésére van szüksége:

  1. Válassza ki a naplórészletet, és másolja ki a connectionId tevékenység részleteiből.

  2. Válassza a Szűrő hozzáadása lehetőséget, és válassza a Kapcsolatazonosító lehetőséget.

  3. A megjelenő mezőben illessze be az elemet, és válassza az connectionId Alkalmaz lehetőséget.

    Képernyőkép a forgalmi napló szűrőről.

Hibaelhárítási forgatókönyvek

A következő részletek hasznosak lehetnek a hibaelhárításhoz és az elemzéshez:

  • Ha érdekli az elküldött és fogadott forgalom mérete, engedélyezze az Elküldött bájtok és a Fogadott bájtok oszlopokat. Válassza ki az oszlopfejlécet a naplók méretének rendezéséhez.
  • Ha egy kockázatos felhasználó hálózati tevékenységét tekinti át, az eredményeket egyszerű felhasználónév alapján szűrheti, majd áttekintheti azokat a webhelyeket, amelyekhez hozzáférnek.
  • A letiltani vagy engedélyezni kívánt webhelytípusok felé irányuló forgalom kereséséhez engedélyezze a Webkategória oszlopot.

A napló részletei értékes információkat nyújtanak a hálózati forgalomról. Nem minden részlet van definiálva az alábbi listában, de a következő részletek hasznosak a hibaelhárításhoz és az elemzéshez:

  • Tranzakcióazonosító: A kérés-válasz pár egyedi azonosítója.
  • Kapcsolatazonosító: A naplót kezdeményező kapcsolatot jelképező egyedi azonosító.
  • Eszközkategória: Az eszköz típusa, ahonnan a tranzakció elindult. Ügyfél vagy távoli hálózat.
  • Művelet: A hálózati munkameneten végrehajtott művelet. Engedélyezett vagy elutasított.

Diagnosztikai beállítások konfigurálása naplók exportálásához

A globális biztonságos hozzáférés forgalmi naplóit (előzetes verzió) exportálhatja egy végpontra további elemzés és riasztás céljából. Ez az integráció a Microsoft Entra diagnosztikai beállításaiban van konfigurálva.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

  2. Tallózással keresse meg az Identitásfigyelés>& Állapotdiagnosztikai>beállításokat.

  3. Válassza a Diagnosztikai beállítás hozzáadása lehetőséget.

  4. Adjon nevet a diagnosztikai beállításnak.

  5. Válassza ki NetworkAccessTrafficLogs.

  6. Válassza ki a naplók elküldéséhez szükséges céladatokat . Válassza ki az alábbi célhelyeket vagy az összeset. A kijelöléstől függően további mezők jelennek meg.

    • Küldés a Log Analytics-munkaterületre: Válassza ki a megfelelő részleteket a megjelenő menükből.
    • Archiválás tárfiókba: Adja meg, hogy hány napig szeretné megőrizni az adatokat a naplókategóriák mellett megjelenő Adatmegőrzési napok mezőben. Válassza ki a megfelelő részleteket a megjelenő menükből.
    • Streamelés eseményközpontba: Válassza ki a megfelelő részleteket a megjelenő menükből.
    • Küldés partnermegoldásnak: Válassza ki a megfelelő részleteket a megjelenő menükből.

Következő lépések