Come usare i log del traffico di accesso sicuro globale (anteprima)
Il monitoraggio del traffico per l'accesso sicuro globale è un'attività importante per garantire che il tenant sia configurato correttamente e che gli utenti ottengano la migliore esperienza possibile. I log del traffico di accesso sicuro globale (anteprima) forniscono informazioni dettagliate su chi accede alle risorse, da dove accedono e su quali azioni sono state eseguite.
Questo articolo descrive come usare i log del traffico per l'accesso sicuro globale.
Prerequisiti
- Disporre di ruolo di Amministratore dell'Accesso globale sicuro in Microsoft Entra ID.
- Il prodotto richiede licenze. Per informazioni dettagliate, vedere la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario, è possibile acquistare licenze o ottenere licenze di prova gratuita.
Funzionamento dei log del traffico
I log di accesso sicuro globale forniscono i dettagli del traffico di rete. Per comprendere meglio questi dettagli e come è possibile analizzare tali dettagli per monitorare l'ambiente, è utile esaminare i tre livelli dei log e la relazione tra loro.
Un utente che accede a un sito Web rappresenta una sessione e all'interno di tale sessione potrebbero essere presenti più connessioni e all'interno di tale connessione potrebbero essere presenti più transazioni.
- Sessione: una sessione viene identificata dal primo URL a cui accede un utente. Tale sessione potrebbe quindi aprire molte connessioni, ad esempio un sito di notizie che contiene più annunci da diversi siti.
- Connessione: una connessione include l'indirizzo IP di origine e di destinazione, la porta di origine e di destinazione e il nome di dominio completo (FQDN). I componenti di connessione comprendono la tupla 5.
- Transazione: una transazione è una coppia di richieste e risposte univoca.
All'interno di ogni istanza del log è possibile visualizzare l'ID connessione e l'ID transazione nei dettagli. Usando i filtri, è possibile esaminare tutte le connessioni e le transazioni per una singola sessione.
Come visualizzare i log del traffico
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.
- Log globali del traffico di>Monitoraggio degli accessi>sicuri.
Nella parte superiore della pagina viene visualizzato un riepilogo di tutte le transazioni e una suddivisione per ogni tipo di traffico. Selezionare i pulsanti di accesso a Microsoft 365 o Privato per filtrare i log in base a ogni tipo di traffico.
Nota
Al momento, le informazioni sull'ID sessione non sono disponibili nei dettagli del log.
Visualizzare i dettagli del log
Selezionare un log dall'elenco per visualizzare i dettagli. Questi dettagli forniscono informazioni preziose che possono essere usate per filtrare i log per dettagli specifici o per risolvere i problemi di uno scenario. I dettagli possono essere aggiunti come colonna e usati per filtrare i log.
Opzioni filtro e colonna
I log del traffico possono fornire molti dettagli, quindi per avviare solo alcune colonne sono visibili. Abilitare e disabilitare le colonne in base alle attività di analisi o risoluzione dei problemi eseguite, perché i log potrebbero risultare difficili da visualizzare con troppe colonne selezionate. Le opzioni di colonna e filtro sono allineate a ogni elemento nei dettagli dell'attività.
Selezionare Colonne nella parte superiore della pagina per modificare le colonne visualizzate.
Per filtrare i log del traffico in base a un dettaglio specifico, selezionare il pulsante Aggiungi filtro e quindi immettere i dettagli da filtrare.
Ad esempio, se si vogliono esaminare tutti i log da una connessione specifica:
Selezionare i dettagli del log e copiare da
connectionId
Dettagli attività.Selezionare Aggiungi filtro e scegliere ID connessione.
Nel campo visualizzato incollare e
connectionId
selezionare Applica.
Scenari di risoluzione dei problemi
I dettagli seguenti possono essere utili per la risoluzione dei problemi e l'analisi:
- Se si è interessati alle dimensioni del traffico inviato e ricevuto, abilitare le colonne Byte inviati e Byte ricevuti . Selezionare l'intestazione di colonna per ordinare i log in base alle dimensioni dei log.
- Se si esamina l'attività di rete per un utente rischioso, è possibile filtrare i risultati in base al nome dell'entità utente e quindi esaminare i siti a cui accedono.
- Per cercare il traffico verso i tipi di siti Web che si desidera bloccare o consentire, abilitare la colonna Categoria Web.
I dettagli del log forniscono informazioni preziose sul traffico di rete. Non tutti i dettagli sono definiti nell'elenco seguente, ma i dettagli seguenti sono utili per la risoluzione dei problemi e l'analisi:
- ID transazione: identificatore univoco che rappresenta la coppia richiesta/risposta.
- ID connessione: identificatore univoco che rappresenta la connessione che ha avviato il log.
- Categoria di dispositivi: tipo di dispositivo da cui è stata avviata la transazione. Client o rete remota.
- Azione: azione eseguita nella sessione di rete. Consentito o negato.
Configurare le impostazioni di diagnostica per esportare i log
È possibile esportare i log del traffico di accesso sicuro globale (anteprima) in un endpoint per ulteriori analisi e avvisi. Questa integrazione è configurata nelle impostazioni di diagnostica di Microsoft Entra.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.
Passare a Identità>Monitoraggio e integrità>Impostazioni diagnostiche.
Selezionare Aggiungi impostazione di diagnostica.
Assegnare un nome all'impostazione della diagnostica.
Selezionare
NetworkAccessTrafficLogs
.Selezionare i dettagli di destinazione per dove inviare i log. Scegliere una o tutte le destinazioni seguenti. Vengono visualizzati campi aggiuntivi, a seconda della selezione.
- Invia all'area di lavoro Log Analytics: selezionare i dettagli appropriati dai menu visualizzati.
- Archivio in un account di archiviazione: specificare il numero di giorni in cui conservare i dati nelle caselle Giorni di conservazione visualizzate accanto alle categorie di log. Selezionare i dettagli appropriati dai menu visualizzati.
- Trasmettere a un hub eventi: selezionare i dettagli appropriati dai menu visualizzati.
- Invia alla soluzione partner: selezionare i dettagli appropriati dai menu visualizzati.
Condizioni per l’Utilizzo
L'uso delle esperienze e delle funzionalità di anteprima di Accesso privato Microsoft Entra e Accesso a Internet Microsoft Entra è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali tali servizi sono stati ottenuti. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy diversi o ridotti, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nell’Appendice al contratto per i prodotti e i servizi Microsoft (“DPA”) e qualsiasi altro avviso fornito con l'Anteprima.