Come usare i log di Microsoft 365 arricchiti di Accesso sicuro globale

Con il flusso del traffico Microsoft attraverso il servizio Internet privato Microsoft Entra, si vogliono ottenere informazioni dettagliate sulle prestazioni, l'esperienza e la disponibilità delle app di Microsoft 365 usate dall'organizzazione. I log arricchiti di Microsoft 365 forniscono le informazioni necessarie per ottenere queste informazioni dettagliate. È possibile integrare i log con uno strumento SIEM (Security Information and Event Management) di terze parti per ulteriori analisi.

Questo articolo descrive le informazioni nei log e come esportarle.

Prerequisiti

Per usare i log arricchiti, sono necessari i ruoli, le configurazioni e le sottoscrizioni seguenti:

Ruoli e Autorizzazioni

• Per abilitare i log arricchiti di Microsoft 365, è necessario un ruolo di amministratore globale.
• Il prodotto richiede licenze. Per informazioni dettagliate, vedere la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario, è possibile acquistare licenze o ottenere licenze di prova gratuita.
• Per usare il profilo di inoltro del traffico Microsoft, è consigliata una licenza di Microsoft 365 E3.

Configurazioni

• Profilo Microsoft: assicurarsi che il profilo Microsoft sia abilitato. Il profilo di inoltro del traffico Microsoft è necessario per acquisire il traffico indirizzato ai servizi di Microsoft 365, fondamentale per l'arricchimento dei log.
• Criteri comuni per il traffico di Microsoft 365 e Office Online: obbligatorio per l'arricchimento dei log. Assicurarsi che sia abilitato.
• Invio di dati da parte del tenant: conferma che il traffico, come configurato nei profili di inoltro, viene sottoposto a tunneling accurato al servizio Accesso sicuro globale.
• Configurazione delle impostazioni di diagnostica: configurare le impostazioni di diagnostica di Microsoft Entra per incanalare i log a un endpoint designato, ad esempio un'area di lavoro Log Analytics. I requisiti per ogni endpoint differiscono e sono descritti nella sezione Configurare le impostazioni di diagnostica di questo articolo.

Sottoscrizioni

• Il prodotto richiede licenze. Per informazioni dettagliate, vedere la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario, è possibile acquistare licenze o ottenere licenze di prova gratuita.
• Licenza di Microsoft 365 E3: consigliata per l'uso del profilo di inoltro del traffico Microsoft.

È necessario configurare l'endpoint per cui si desidera instradare i log prima di configurare le impostazioni di diagnostica. I requisiti per ogni endpoint variano e sono descritti nella sezione Configurare le impostazioni di diagnostica.

Elementi forniti dai log

I log arricchiti di Microsoft 365 forniscono informazioni sui carichi di lavoro di Microsoft 365, in modo da poter esaminare i dati di diagnostica di rete, i dati sulle prestazioni e gli eventi di sicurezza rilevanti per le app di Microsoft 365. Ad esempio, se l'accesso a Microsoft 365 viene bloccato per un utente dell'organizzazione, è necessaria visibilità sulla connessione del dispositivo dell'utente alla rete.

Questi log forniscono:

• Latenza migliorata
• Informazioni aggiuntive aggiunte ai log originali
• Indirizzo IP accurato

Questi log sono un subset dei log disponibili nei log di controllo di Microsoft 365. I log sono arricchiti con altre informazioni, tra cui l'ID dispositivo, il sistema operativo e l'indirizzo IP originale. I log di SharePoint arricchiti forniscono informazioni sui file scaricati, caricati, eliminati, modificati o riciclati. Anche gli elementi di elenco eliminati o riciclati sono inclusi nei log arricchiti.

Come visualizzare i log

La visualizzazione dei log arricchiti di Microsoft 365 è un processo in due passaggi. Prima di tutto, è necessario abilitare l'arricchimento dei log da Global Secure Access. In secondo luogo, è necessario configurare le impostazioni di diagnostica di Microsoft Entra per instradare i log a un endpoint, ad esempio un'area di lavoro Log Analytics.

Nota

Al momento, solo i log di SharePoint Online sono disponibili per l'arricchimento dei log.

Abilitare l'arricchimento dei log

Per abilitare i log di Microsoft 365 arricchiti:

1. Accedere all’Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.

2. Passare a Global Secure Access Global settings Logging (Registrazione delle impostazioni>globali di accesso>sicuro).

3. Selezionare il tipo di log di Microsoft 365 da abilitare.

4. Seleziona Salva.

   

Per l'integrazione completa con il servizio, i log arricchiti richiedono fino a 72 ore.

Configurare le impostazioni di diagnostica

Per visualizzare i log arricchiti di Microsoft 365, è necessario esportare o trasmettere i log a un endpoint, ad esempio un'area di lavoro Log Analytics o uno strumento SIEM. Prima di configurare le impostazioni di diagnostica, è necessario configurare l'endpoint.

Configurare un endpoint

• Per integrare i log con Log Analytics, è necessaria un'area di lavoro Log Analytics.

  • Creare un'area di lavoro Log Analytics.
  • Integrare i log con Log Analytics

• Per trasmettere i log a uno strumento SIEM, è necessario creare un hub eventi di Azure e uno spazio dei nomi dell'hub eventi.

  • Configurare uno spazio dei nomi di Hub eventi e un hub eventi.
  • Trasmettere i log a un hub eventi

• Per archiviare i log in un account di archiviazione, è necessario un account di archiviazione di Azure per cui si dispone ListKeys delle autorizzazioni.

  • Creare un account di archiviazione di Azure.
  • Archiviare i log un account di archiviazione

Inviare log a un endpoint

Dopo aver creato l'endpoint, è possibile configurare le impostazioni di diagnostica.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.

2. Passare a Identità>Monitoraggio e integrità>Impostazioni diagnostiche.

3. Selezionare Aggiungi impostazione di diagnostica.

4. Assegnare un nome all'impostazione della diagnostica.

5. Selezionare EnrichedOffice365AuditLogs.

6. Selezionare i dettagli di destinazione per dove inviare i log. Scegliere una o tutte le destinazioni seguenti. Vengono visualizzati altri campi, a seconda della selezione.

   • Invia all'area di lavoro Log Analytics: selezionare i dettagli appropriati dai menu visualizzati.
   • Archivio in un account di archiviazione: specificare il numero di giorni in cui conservare i dati nelle caselle Giorni di conservazione visualizzate accanto alle categorie di log. Selezionare i dettagli appropriati dai menu visualizzati.
   • Trasmettere a un hub eventi: selezionare i dettagli appropriati dai menu visualizzati.
   • Invia alla soluzione partner: selezionare i dettagli appropriati dai menu visualizzati.

Nell'esempio seguente vengono inviati i log arricchiti a un'area di lavoro Log Analytics, che richiede la selezione dell'area di lavoro Sottoscrizione e Log Analytics dai menu visualizzati.

Condizioni per l’Utilizzo

L'uso delle esperienze e delle funzionalità di anteprima di Accesso privato Microsoft Entra e Accesso a Internet Microsoft Entra è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali tali servizi sono stati ottenuti. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy diversi o ridotti, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nell’Appendice al contratto per i prodotti e i servizi Microsoft (“DPA”) e qualsiasi altro avviso fornito con l'Anteprima.

Passaggi successivi

• Esplorare le opzioni di monitoraggio e log di accesso sicuro globale
• Informazioni sui log di controllo di Accesso sicuro globale (anteprima)
• Log di controllo arricchiti di Microsoft 365