Come usare i log di Accesso sicuro globale (anteprima) arricchiti da Microsoft 365

Con il traffico di Microsoft 365 che scorre attraverso il servizio Internet privato Microsoft Entra, si vogliono ottenere informazioni dettagliate sulle prestazioni, l'esperienza e la disponibilità delle app di Microsoft 365 usate dall'organizzazione. I log arricchiti di Microsoft 365 forniscono le informazioni necessarie per ottenere queste informazioni dettagliate. È possibile integrare i log con uno strumento SIEM (Security Information and Event Management) di terze parti per ulteriori analisi.

Questo articolo descrive le informazioni nei log e come esportarle.

Prerequisiti

Per usare i log arricchiti, sono necessari i ruoli, le configurazioni e le sottoscrizioni seguenti:

Ruoli e Autorizzazioni

• Per abilitare i log arricchiti di Microsoft 365, è necessario un ruolo globale Amministrazione istrator.
• L'anteprima richiede una licenza microsoft Entra ID P1. Se necessario, è possibile acquistare licenze o ottenere licenze di valutazione.
• Per usare il profilo di inoltro del traffico di Microsoft 365, è consigliabile usare una licenza di Microsoft 365 E3.

Configurazioni

• Profilo Di Microsoft 365: assicurarsi che il profilo di Microsoft 365 sia abilitato. Accesso a Internet Microsoft Entra è necessario per acquisire il traffico diretto ai servizi di Microsoft 365, fondamentale per l'arricchimento dei log.
• Criteri comuni per il traffico di Microsoft 365 e Office Online: obbligatorio per l'arricchimento dei log. Assicurarsi che sia abilitato.
• Invio di dati da parte del tenant: conferma che il traffico, come configurato nei profili di inoltro, viene sottoposto a tunneling accurato al servizio Accesso sicuro globale.
• Configurazione Impostazioni diagnostica: configurare le impostazioni di diagnostica di Microsoft Entra per incanalare i log in un endpoint designato, ad esempio un'area di lavoro Log Analytics. I requisiti per ogni endpoint differiscono e sono descritti nella sezione Configurare le impostazioni di diagnostica di questo articolo.

Sottoscrizioni

• Licenza Microsoft Entra ID P1 : obbligatoria per l'accesso in anteprima. L'acquisto o l'acquisizione di licenze di valutazione è un'opzione, se necessario.
• Licenza di Microsoft 365 E3: consigliata per l'uso del profilo di inoltro del traffico di Microsoft 365.

È necessario configurare l'endpoint per cui si desidera instradare i log prima di configurare le impostazioni di diagnostica. I requisiti per ogni endpoint variano e sono descritti nella sezione Configurare le impostazioni di diagnostica.

Elementi forniti dai log

I log arricchiti di Microsoft 365 forniscono informazioni sui carichi di lavoro di Microsoft 365, in modo da poter esaminare i dati di diagnostica di rete, i dati sulle prestazioni e gli eventi di sicurezza rilevanti per le app di Microsoft 365. Ad esempio, se l'accesso a Microsoft 365 viene bloccato per un utente dell'organizzazione, è necessaria visibilità sulla connessione del dispositivo dell'utente alla rete.

Questi log forniscono:

• Latenza migliorata
• Informazioni aggiuntive aggiunte ai log originali
• Indirizzo IP accurato

Questi log sono un subset dei log disponibili nei log di controllo di Microsoft 365. I log sono arricchiti con altre informazioni, tra cui l'ID dispositivo, il sistema operativo e l'indirizzo IP originale. I log di SharePoint arricchiti forniscono informazioni sui file scaricati, caricati, eliminati, modificati o riciclati. Anche gli elementi di elenco eliminati o riciclati sono inclusi nei log arricchiti.

Come visualizzare i log

La visualizzazione dei log arricchiti di Microsoft 365 è un processo in due passaggi. Prima di tutto, è necessario abilitare l'arricchimento dei log da Global Secure Access. In secondo luogo, è necessario configurare le impostazioni di diagnostica di Microsoft Entra per instradare i log a un endpoint, ad esempio un'area di lavoro Log Analytics.

Nota

Al momento, solo i log di SharePoint Online sono disponibili per l'arricchimento dei log.

Abilitare l'arricchimento dei log

Per abilitare i log di Microsoft 365 arricchiti:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come global Amministrazione istrator.

2. Passare a Accesso sicuro globale (anteprima)>Registrazione delle impostazioni>globali.

3. Selezionare il tipo di log di Microsoft 365 da abilitare.

4. Seleziona Salva.

   

Per l'integrazione completa con il servizio, i log arricchiti richiedono fino a 72 ore.

Configurare le impostazioni di diagnostica

Per visualizzare i log arricchiti di Microsoft 365, è necessario esportare o trasmettere i log a un endpoint, ad esempio un'area di lavoro Log Analytics o uno strumento SIEM. Prima di configurare le impostazioni di diagnostica, è necessario configurare l'endpoint.

Configurare un endpoint

• Per integrare i log con Log Analytics, è necessaria un'area di lavoro Log Analytics.

  • Creare un'area di lavoro Log Analytics.
  • Integrare i log con Log Analytics

• Per trasmettere i log a uno strumento SIEM, è necessario creare un hub eventi di Azure e uno spazio dei nomi dell'hub eventi.

  • Configurare uno spazio dei nomi di Hub eventi e un hub eventi.
  • Trasmettere i log a un hub eventi

• Per archiviare i log in un account di archiviazione, è necessario un account di archiviazione di Azure per cui si dispone ListKeys delle autorizzazioni.

  • Creare un account di archiviazione di Azure.
  • Archiviare i log un account di archiviazione

Inviare log a un endpoint

Dopo aver creato l'endpoint, è possibile configurare le impostazioni di diagnostica.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.

2. Passare a Identity Monitoring and health Diagnostic settings (Monitoraggio identità>e impostazioni di diagnostica dell'integrità).>

3. Selezionare Aggiungi impostazione di diagnostica.

4. Assegnare un nome all'impostazione della diagnostica.

5. Selezionare EnrichedOffice365AuditLogs.

6. Selezionare i dettagli di destinazione per dove inviare i log. Scegliere una o tutte le destinazioni seguenti. Vengono visualizzati altri campi, a seconda della selezione.

   • Invia all'area di lavoro Log Analytics: selezionare i dettagli appropriati dai menu visualizzati.
   • Archivio in un account di archiviazione: specificare il numero di giorni in cui conservare i dati nelle caselle Giorni di conservazione visualizzate accanto alle categorie di log. Selezionare i dettagli appropriati dai menu visualizzati.
   • Trasmettere a un hub eventi: selezionare i dettagli appropriati dai menu visualizzati.
   • Invia alla soluzione partner: selezionare i dettagli appropriati dai menu visualizzati.

Nell'esempio seguente vengono inviati i log arricchiti a un'area di lavoro Log Analytics, che richiede la selezione dell'area di lavoro Sottoscrizione e Log Analytics dai menu visualizzati.

Condizioni per l’Utilizzo

L'uso delle Accesso privato Microsoft Entra e delle Accesso a Internet Microsoft Entra esperienze e funzionalità di anteprima è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali sono stati ottenuti i servizi. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy ridotti o diversi, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nel componente aggiuntivo per la protezione dei dati dei prodotti e servizi Microsoft ("DPA") e qualsiasi altro avviso fornito con l'anteprima.

Passaggi successivi

• Esplorare le opzioni di monitoraggio e log di accesso sicuro globale
• Informazioni sui log di controllo di Accesso sicuro globale
• Log di controllo arricchiti di Microsoft 365