Condividi tramite


Come usare i log di Microsoft 365 arricchiti di Accesso sicuro globale

Con il flusso del traffico Microsoft attraverso il servizio Internet privato Microsoft Entra, si vogliono ottenere informazioni dettagliate sulle prestazioni, l'esperienza e la disponibilità delle app di Microsoft 365 usate dall'organizzazione. I log arricchiti di Microsoft 365 forniscono le informazioni necessarie per ottenere queste informazioni dettagliate. È possibile integrare i log con uno strumento SIEM (Security Information and Event Management) di terze parti per ulteriori analisi.

Questo articolo descrive le informazioni nei log e come esportarle.

Prerequisiti

Per usare i log arricchiti, sono necessari i ruoli, le configurazioni e le sottoscrizioni seguenti:

Ruoli e Autorizzazioni

  • Per abilitare i log arricchiti di Microsoft 365, è necessario un ruolo di amministratore globale.
  • Il prodotto richiede licenze. Per informazioni dettagliate, vedere la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario, è possibile acquistare licenze o ottenere licenze di prova gratuita.
  • Per usare il profilo di inoltro del traffico Microsoft, è consigliata una licenza di Microsoft 365 E3.

Configurazioni

  • Profilo Microsoft: assicurarsi che il profilo Microsoft sia abilitato. Il profilo di inoltro del traffico Microsoft è necessario per acquisire il traffico indirizzato ai servizi di Microsoft 365, fondamentale per l'arricchimento dei log.
  • Criteri comuni per il traffico di Microsoft 365 e Office Online: obbligatorio per l'arricchimento dei log. Assicurarsi che sia abilitato.
  • Invio di dati da parte del tenant: conferma che il traffico, come configurato nei profili di inoltro, viene sottoposto a tunneling accurato al servizio Accesso sicuro globale.
  • Configurazione delle impostazioni di diagnostica: configurare le impostazioni di diagnostica di Microsoft Entra per incanalare i log a un endpoint designato, ad esempio un'area di lavoro Log Analytics. I requisiti per ogni endpoint differiscono e sono descritti nella sezione Configurare le impostazioni di diagnostica di questo articolo.

Sottoscrizioni

È necessario configurare l'endpoint per cui si desidera instradare i log prima di configurare le impostazioni di diagnostica. I requisiti per ogni endpoint variano e sono descritti nella sezione Configurare le impostazioni di diagnostica.

Elementi forniti dai log

I log arricchiti di Microsoft 365 forniscono informazioni sui carichi di lavoro di Microsoft 365, in modo da poter esaminare i dati di diagnostica di rete, i dati sulle prestazioni e gli eventi di sicurezza rilevanti per le app di Microsoft 365. Ad esempio, se l'accesso a Microsoft 365 viene bloccato per un utente dell'organizzazione, è necessaria visibilità sulla connessione del dispositivo dell'utente alla rete.

Questi log forniscono:

  • Latenza migliorata
  • Informazioni aggiuntive aggiunte ai log originali
  • Indirizzo IP accurato

Questi log sono un subset dei log disponibili nei log di controllo di Microsoft 365. I log sono arricchiti con altre informazioni, tra cui l'ID dispositivo, il sistema operativo e l'indirizzo IP originale. I log di SharePoint arricchiti forniscono informazioni sui file scaricati, caricati, eliminati, modificati o riciclati. Anche gli elementi di elenco eliminati o riciclati sono inclusi nei log arricchiti.

Come visualizzare i log

La visualizzazione dei log arricchiti di Microsoft 365 è un processo in due passaggi. Prima di tutto, è necessario abilitare l'arricchimento dei log da Global Secure Access. In secondo luogo, è necessario configurare le impostazioni di diagnostica di Microsoft Entra per instradare i log a un endpoint, ad esempio un'area di lavoro Log Analytics.

Nota

Al momento, solo i log di SharePoint Online sono disponibili per l'arricchimento dei log.

Abilitare l'arricchimento dei log

Per abilitare i log di Microsoft 365 arricchiti:

  1. Accedere all’Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.

  2. Passare a Global Secure Access Global settings Logging (Registrazione delle impostazioni>globali di accesso>sicuro).

  3. Selezionare il tipo di log di Microsoft 365 da abilitare.

  4. Seleziona Salva.

    Screenshot dell'area Registrazione dell'accesso sicuro globale.

Per l'integrazione completa con il servizio, i log arricchiti richiedono fino a 72 ore.

Configurare le impostazioni di diagnostica

Per visualizzare i log arricchiti di Microsoft 365, è necessario esportare o trasmettere i log a un endpoint, ad esempio un'area di lavoro Log Analytics o uno strumento SIEM. Prima di configurare le impostazioni di diagnostica, è necessario configurare l'endpoint.

Configurare un endpoint

Inviare log a un endpoint

Dopo aver creato l'endpoint, è possibile configurare le impostazioni di diagnostica.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.

  2. Passare a Identità>Monitoraggio e integrità>Impostazioni diagnostiche.

  3. Selezionare Aggiungi impostazione di diagnostica.

  4. Assegnare un nome all'impostazione della diagnostica.

  5. Selezionare EnrichedOffice365AuditLogs.

  6. Selezionare i dettagli di destinazione per dove inviare i log. Scegliere una o tutte le destinazioni seguenti. Vengono visualizzati altri campi, a seconda della selezione.

    • Invia all'area di lavoro Log Analytics: selezionare i dettagli appropriati dai menu visualizzati.
    • Archivio in un account di archiviazione: specificare il numero di giorni in cui conservare i dati nelle caselle Giorni di conservazione visualizzate accanto alle categorie di log. Selezionare i dettagli appropriati dai menu visualizzati.
    • Trasmettere a un hub eventi: selezionare i dettagli appropriati dai menu visualizzati.
    • Invia alla soluzione partner: selezionare i dettagli appropriati dai menu visualizzati.

Nell'esempio seguente vengono inviati i log arricchiti a un'area di lavoro Log Analytics, che richiede la selezione dell'area di lavoro Sottoscrizione e Log Analytics dai menu visualizzati.

Screenshot delle impostazioni di diagnostica di Microsoft Entra, con i log arricchiti e le opzioni di Log Analytics evidenziate.

Condizioni per l’Utilizzo

L'uso delle esperienze e delle funzionalità di anteprima di Accesso privato Microsoft Entra e Accesso a Internet Microsoft Entra è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali tali servizi sono stati ottenuti. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy diversi o ridotti, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nell’Appendice al contratto per i prodotti e i servizi Microsoft (“DPA”) e qualsiasi altro avviso fornito con l'Anteprima.

Passaggi successivi