Come usare i log di Microsoft 365 arricchiti di Accesso sicuro globale
Con il flusso del traffico Microsoft attraverso il servizio Internet privato Microsoft Entra, si vogliono ottenere informazioni dettagliate sulle prestazioni, l'esperienza e la disponibilità delle app di Microsoft 365 usate dall'organizzazione. I log arricchiti di Microsoft 365 forniscono le informazioni necessarie per ottenere queste informazioni dettagliate. È possibile integrare i log con uno strumento SIEM (Security Information and Event Management) di terze parti per ulteriori analisi.
Questo articolo descrive le informazioni nei log e come esportarle.
Prerequisiti
Per usare i log arricchiti, sono necessari i ruoli, le configurazioni e le sottoscrizioni seguenti:
Ruoli e Autorizzazioni
- Per abilitare i log arricchiti di Microsoft 365, è necessario un ruolo di amministratore globale.
- Il prodotto richiede licenze. Per informazioni dettagliate, vedere la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario, è possibile acquistare licenze o ottenere licenze di prova gratuita.
- Per usare il profilo di inoltro del traffico Microsoft, è consigliata una licenza di Microsoft 365 E3.
Configurazioni
- Profilo Microsoft: assicurarsi che il profilo Microsoft sia abilitato. Il profilo di inoltro del traffico Microsoft è necessario per acquisire il traffico indirizzato ai servizi di Microsoft 365, fondamentale per l'arricchimento dei log.
- Criteri comuni per il traffico di Microsoft 365 e Office Online: obbligatorio per l'arricchimento dei log. Assicurarsi che sia abilitato.
- Invio di dati da parte del tenant: conferma che il traffico, come configurato nei profili di inoltro, viene sottoposto a tunneling accurato al servizio Accesso sicuro globale.
- Configurazione delle impostazioni di diagnostica: configurare le impostazioni di diagnostica di Microsoft Entra per incanalare i log a un endpoint designato, ad esempio un'area di lavoro Log Analytics. I requisiti per ogni endpoint differiscono e sono descritti nella sezione Configurare le impostazioni di diagnostica di questo articolo.
Sottoscrizioni
- Il prodotto richiede licenze. Per informazioni dettagliate, vedere la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario, è possibile acquistare licenze o ottenere licenze di prova gratuita.
- Licenza di Microsoft 365 E3: consigliata per l'uso del profilo di inoltro del traffico Microsoft.
È necessario configurare l'endpoint per cui si desidera instradare i log prima di configurare le impostazioni di diagnostica. I requisiti per ogni endpoint variano e sono descritti nella sezione Configurare le impostazioni di diagnostica.
Elementi forniti dai log
I log arricchiti di Microsoft 365 forniscono informazioni sui carichi di lavoro di Microsoft 365, in modo da poter esaminare i dati di diagnostica di rete, i dati sulle prestazioni e gli eventi di sicurezza rilevanti per le app di Microsoft 365. Ad esempio, se l'accesso a Microsoft 365 viene bloccato per un utente dell'organizzazione, è necessaria visibilità sulla connessione del dispositivo dell'utente alla rete.
Questi log forniscono:
- Latenza migliorata
- Informazioni aggiuntive aggiunte ai log originali
- Indirizzo IP accurato
Questi log sono un subset dei log disponibili nei log di controllo di Microsoft 365. I log sono arricchiti con altre informazioni, tra cui l'ID dispositivo, il sistema operativo e l'indirizzo IP originale. I log di SharePoint arricchiti forniscono informazioni sui file scaricati, caricati, eliminati, modificati o riciclati. Anche gli elementi di elenco eliminati o riciclati sono inclusi nei log arricchiti.
Come visualizzare i log
La visualizzazione dei log arricchiti di Microsoft 365 è un processo in due passaggi. Prima di tutto, è necessario abilitare l'arricchimento dei log da Global Secure Access. In secondo luogo, è necessario configurare le impostazioni di diagnostica di Microsoft Entra per instradare i log a un endpoint, ad esempio un'area di lavoro Log Analytics.
Nota
Al momento, solo i log di SharePoint Online sono disponibili per l'arricchimento dei log.
Abilitare l'arricchimento dei log
Per abilitare i log di Microsoft 365 arricchiti:
Accedere all’Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.
Passare a Global Secure Access Global settings Logging (Registrazione delle impostazioni>globali di accesso>sicuro).
Selezionare il tipo di log di Microsoft 365 da abilitare.
Seleziona Salva.
Per l'integrazione completa con il servizio, i log arricchiti richiedono fino a 72 ore.
Configurare le impostazioni di diagnostica
Per visualizzare i log arricchiti di Microsoft 365, è necessario esportare o trasmettere i log a un endpoint, ad esempio un'area di lavoro Log Analytics o uno strumento SIEM. Prima di configurare le impostazioni di diagnostica, è necessario configurare l'endpoint.
Configurare un endpoint
Per integrare i log con Log Analytics, è necessaria un'area di lavoro Log Analytics.
Per trasmettere i log a uno strumento SIEM, è necessario creare un hub eventi di Azure e uno spazio dei nomi dell'hub eventi.
Per archiviare i log in un account di archiviazione, è necessario un account di archiviazione di Azure per cui si dispone
ListKeys
delle autorizzazioni.
Inviare log a un endpoint
Dopo aver creato l'endpoint, è possibile configurare le impostazioni di diagnostica.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.
Passare a Identità>Monitoraggio e integrità>Impostazioni diagnostiche.
Selezionare Aggiungi impostazione di diagnostica.
Assegnare un nome all'impostazione della diagnostica.
Selezionare
EnrichedOffice365AuditLogs
.Selezionare i dettagli di destinazione per dove inviare i log. Scegliere una o tutte le destinazioni seguenti. Vengono visualizzati altri campi, a seconda della selezione.
- Invia all'area di lavoro Log Analytics: selezionare i dettagli appropriati dai menu visualizzati.
- Archivio in un account di archiviazione: specificare il numero di giorni in cui conservare i dati nelle caselle Giorni di conservazione visualizzate accanto alle categorie di log. Selezionare i dettagli appropriati dai menu visualizzati.
- Trasmettere a un hub eventi: selezionare i dettagli appropriati dai menu visualizzati.
- Invia alla soluzione partner: selezionare i dettagli appropriati dai menu visualizzati.
Nell'esempio seguente vengono inviati i log arricchiti a un'area di lavoro Log Analytics, che richiede la selezione dell'area di lavoro Sottoscrizione e Log Analytics dai menu visualizzati.
Condizioni per l’Utilizzo
L'uso delle esperienze e delle funzionalità di anteprima di Accesso privato Microsoft Entra e Accesso a Internet Microsoft Entra è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali tali servizi sono stati ottenuti. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy diversi o ridotti, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nell’Appendice al contratto per i prodotti e i servizi Microsoft (“DPA”) e qualsiasi altro avviso fornito con l'Anteprima.
Passaggi successivi
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per