Come usare i log di Microsoft 365 arricchiti di Accesso sicuro globale

Con il flusso del traffico Microsoft attraverso Microsoft Entra Internet Access per i servizi Microsoft, si vogliono ottenere informazioni dettagliate sulle prestazioni, l'esperienza e la disponibilità delle app di Microsoft 365 usate dall'organizzazione. Con l'accesso sicuro globale, i log di controllo di Microsoft 365 possono essere facilmente arricchiti con le informazioni necessarie per ottenere queste informazioni dettagliate. I log si possono integrare con uno strumento di gestione delle informazioni e degli eventi di sicurezza (SIEM) di terzi per ulteriori analisi.

Questo articolo descrive le informazioni nei log e come utilizzarle per i suddetti approfondimenti.

Prerequisiti

Per utilizzare i log arricchiti sono necessari i seguenti ruoli, configurazioni e abbonamenti:

Ruoli e Autorizzazioni

• È necessario un ruolo amministratore della sicurezza per esportare i log globali del traffico di rete di accesso sicuro in Impostazioni di diagnostica.

Configurazioni

• Profilo Microsoft : assicurarsi che il profilo del traffico Microsoft sia abilitato. Il profilo di inoltro del traffico Microsoft è necessario per acquisire il traffico indirizzato ai servizi di Microsoft 365, fondamentale per l'arricchimento dei log.
• Invio di dati da parte del tenant: conferma che il traffico, come configurato nei profili di inoltro, viene sottoposto a tunneling accurato al servizio Accesso sicuro globale.
• Configurazione delle impostazioni di diagnostica : configurare le impostazioni di diagnostica di Microsoft Entra per incanalare i log a un endpoint designato, ad esempio un'area di lavoro Log Analytics o un'area di lavoro Sentinel. I requisiti di ciascun endpoint variano e sono descritti nella sezione Configurare le impostazioni di diagnostica di questo articolo.
• Esportare la tabella dei log di OfficeActivity : la tabella OfficeActivity deve essere esportata nella stessa area di lavoro LogAnalytics o Microsoft Sentinel dei log del traffico GSA o in un altro sistema SIEM o Log di terze parti.

Sottoscrizioni

• Il prodotto richiede licenze per abilitare il profilo di inoltro del traffico per i servizi Microsoft. Per informazioni dettagliate, vedere la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario, è possibile acquistare licenze o ottenere licenze di valutazione.

È necessario configurare l'endpoint per il percorso in cui inviare i log, prima di configurare le impostazioni di diagnostica. I requisiti per ogni endpoint variano e sono descritti nella sezione Configurare le impostazioni di diagnostica .

Cosa forniscono i log

I log di controllo di Microsoft 365 forniscono informazioni sui carichi di lavoro di Microsoft 365, in modo da poter esaminare i dati di diagnostica di rete, i dati sulle prestazioni e gli eventi di sicurezza rilevanti per le app di Microsoft 365. Le proprietà arricchite dei dati del log di accesso sicuro globale includono informazioni sui dispositivi relative alle attività degli utenti. Ad esempio, se l'accesso a Microsoft 365 è bloccato per un utente dell'organizzazione, è necessario vedere in che modo il dispositivo dell'utente si connette alla rete.

Questi log forniscono:

• Ulteriori informazioni, oltre a quelle dei log originali
• Indirizzo IP accurato

Seguendo la procedura descritta in questo articolo, i log vengono arricchiti con altre informazioni, tra cui l'ID dispositivo, il sistema operativo e l'indirizzo IP originale. I log arricchiti di SharePoint forniscono informazioni sui file che sono stati scaricati, caricati, eliminati, modificati o riciclati. Anche le voci degli elenchi eliminate o riciclate sono incluse nei log arricchiti.

Come visualizzare i log

La visualizzazione dei log di controllo di Microsoft 365 arricchiti è un processo monouso in due passaggi. Prima di tutto, è necessario raccogliere i log globali del traffico di rete di accesso sicuro e i log di controllo unificato di Microsoft 365 allo stesso endpoint (Microsoft Sentinel è l'area di lavoro consigliata). In secondo luogo, è necessario creare una query di join personalizzata per correlare i dati tra le due tabelle oppure utilizzare la cartella di lavoro Enriched Microsoft 365 Logs di Global Secure Access, che applica già le query necessarie.

Nota

Al momento solo i log di SharePoint Online sono disponibili per l'arricchimento.

Nota

I log di controllo MS365 sono stati sottoposti a una modifica delle funzionalità. Invece di creare un nuovo flusso separato di log, è ora possibile sfruttare le due tabelle di log esistenti, Microsoft 365 OfficeActivity e Global Secure Access NetworkAccessTraffic, quindi combinare i dati usando un ID token univoco.

Configurazione delle impostazioni di diagnostica

Per visualizzare i log di Microsoft 365 arricchiti, è necessario esportarli o trasmetterli a un endpoint, ad esempio un'area di lavoro Log Analytics o uno strumento SIEM. Per configurare le impostazioni di diagnostica, l'endpoint deve essere configurato.

Configurare un endpoint

• Per integrare i log con Log Analytics è necessaria un'area di lavoro Log Analytics.

  • Creare un'area di lavoro Log Analytics.
  • Integrare i log con Log Analytics

• Per trasmettere i log a uno strumento SIEM occorre creare un hub eventi di Azure e uno spazio dei nomi dell'hub degli eventi.

  • Configurare uno spazio dei nomi di Event Hubs e un hub eventi.
  • Trasmettere i log a un hub eventi

• Per archiviare i log in un account di archiviazione è necessario avere un account di archiviazione di Azure e le relative autorizzazioni ListKeys.

  • Creare un account di archiviazione di Azure.
  • Archiviare i log in un account di archiviazione

Inviare i log ad un endpoint

Una volta creato l'endpoint è possibile configurare le impostazioni di diagnostica.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore della sicurezza.

2. Passare a Entra ID>Monitoraggio e integrità>Impostazioni di diagnostica.

3. Selezionare Aggiungi impostazione di diagnostica.

4. Assegna un nome all'impostazione della diagnostica.

5. Seleziona NetworkAccessTrafficLogs.

6. Selezionare i dettagli di destinazione per dove inviare i log. Scegliere una delle destinazioni successive o tutte. Vengono visualizzati altri campi, a seconda della selezione.

   • Inviare all'area di lavoro Log Analytics: Selezionare i dettagli appropriati dai menu visualizzati.
   • Archiviare in un account di archiviazione: Specificare il numero di giorni in cui si desidera conservare i dati nelle caselle Giorni di conservazione visualizzate accanto alle categorie di log. Selezionare i dettagli opportuni nei menu visualizzati.
   • Trasmettere a un hub eventi: Selezionare i dettagli appropriati dai menu visualizzati.
   • Inviare alla soluzione partner: Selezionare i dettagli appropriati dai menu visualizzati.

Passaggi successivi

• Esplorare i log e le opzioni di monitoraggio di Accesso Sicuro Globale
• Informazioni sui log di audit di Global Secure Access (anteprima)
• Log di controllo arricchiti di Microsoft 365