Come usare i log del traffico di accesso sicuro globale (anteprima)

Il monitoraggio del traffico per l'accesso sicuro globale (anteprima) è un'attività importante per garantire che il tenant sia configurato correttamente e che gli utenti ottengano la migliore esperienza possibile. I log del traffico di accesso sicuro globale forniscono informazioni dettagliate su chi accede alle risorse, da dove accedono e su quali azioni sono state eseguite.

Questo articolo descrive come usare i log del traffico per l'accesso sicuro globale.

Prerequisiti

  • Ruolo di accesso sicuro globale Amministrazione istrator in Microsoft Entra ID.
  • L'anteprima richiede una licenza microsoft Entra ID P1. Se necessario, è possibile acquistare licenze o ottenere licenze di valutazione.

Funzionamento dei log del traffico

I log di accesso sicuro globale forniscono i dettagli del traffico di rete. Per comprendere meglio questi dettagli e come è possibile analizzare tali dettagli per monitorare l'ambiente, è utile esaminare i tre livelli dei log e la relazione tra loro.

Un utente che accede a un sito Web rappresenta una sessione e all'interno di tale sessione potrebbero essere presenti più connessioni e all'interno di tale connessione potrebbero essere presenti più transazioni.

  • Sessione: una sessione viene identificata dal primo URL a cui accede un utente. Tale sessione potrebbe quindi aprire molte connessioni, ad esempio un sito di notizie che contiene più annunci da diversi siti.
  • Connessione ion: una connessione include l'indirizzo IP di origine e di destinazione, la porta di origine e di destinazione e il nome di dominio completo (FQDN). I componenti di connessione comprendono la tupla 5.
  • Transazione: una transazione è una coppia di richieste e risposte univoca.

All'interno di ogni istanza del log è possibile visualizzare l'ID connessione e l'ID transazione nei dettagli. Usando i filtri, è possibile esaminare tutte le connessioni e le transazioni per una singola sessione.

Come visualizzare i log del traffico

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.
  2. Accesso sicuro globale (anteprima)>Monitorare>i log del traffico.

Nella parte superiore della pagina viene visualizzato un riepilogo di tutte le transazioni e una suddivisione per ogni tipo di traffico. Selezionare i pulsanti di accesso a Microsoft 365 o Privato per filtrare i log in base a ogni tipo di traffico.

Nota

Al momento, le informazioni sull'ID sessione non sono disponibili nei dettagli del log.

Visualizzare i dettagli del log

Selezionare un log dall'elenco per visualizzare i dettagli. Questi dettagli forniscono informazioni preziose che possono essere usate per filtrare i log per dettagli specifici o per risolvere i problemi di uno scenario. I dettagli possono essere aggiunti come colonna e usati per filtrare i log.

Screenshot of the traffic log activity details.

Opzioni filtro e colonna

I log del traffico possono fornire molti dettagli, quindi per avviare solo alcune colonne sono visibili. Abilitare e disabilitare le colonne in base alle attività di analisi o risoluzione dei problemi eseguite, perché i log potrebbero risultare difficili da visualizzare con troppe colonne selezionate. Le opzioni di colonna e filtro sono allineate a ogni elemento nei dettagli dell'attività.

Selezionare Colonne nella parte superiore della pagina per modificare le colonne visualizzate.

Screenshot of the traffic logs with the columns button highlighted.

Per filtrare i log del traffico in base a un dettaglio specifico, selezionare il pulsante Aggiungi filtro e quindi immettere i dettagli da filtrare.

Ad esempio, se si vogliono esaminare tutti i log da una connessione specifica:

  1. Selezionare i dettagli del log e copiare da connectionId Dettagli attività.

  2. Selezionare Aggiungi filtro e scegliere Connessione ID di Connessione.

  3. Nel campo visualizzato incollare e connectionId selezionare Applica.

    Screenshot of the traffic log filter.

Scenari di risoluzione dei problemi

I dettagli seguenti possono essere utili per la risoluzione dei problemi e l'analisi:

  • Se si è interessati alle dimensioni del traffico inviato e ricevuto, abilitare le colonne Byte inviati e Byte ricevuti . Selezionare l'intestazione di colonna per ordinare i log in base alle dimensioni dei log.
  • Se si esamina l'attività di rete per un utente rischioso, è possibile filtrare i risultati in base al nome dell'entità utente e quindi esaminare i siti a cui accedono.
  • Per cercare il traffico verso i tipi di siti Web che si desidera bloccare o consentire, abilitare la colonna Categoria Web.

I dettagli del log forniscono informazioni preziose sul traffico di rete. Non tutti i dettagli sono definiti nell'elenco seguente, ma i dettagli seguenti sono utili per la risoluzione dei problemi e l'analisi:

  • ID transazione: identificatore univoco che rappresenta la coppia richiesta/risposta.
  • Connessione ion ID: identificatore univoco che rappresenta la connessione che ha avviato il log.
  • Categoria di dispositivi: tipo di dispositivo da cui è stata avviata la transazione. Client o rete remota.
  • Azione: azione eseguita nella sessione di rete. Consentito o negato.

Configurare le impostazioni di diagnostica per esportare i log

È possibile esportare i log del traffico di accesso sicuro globale in un endpoint per ulteriori analisi e avvisi. Questa integrazione è configurata nelle impostazioni di diagnostica di Microsoft Entra.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.

  2. Passare a Identity Monitoring and health Diagnostic settings (Monitoraggio identità>e impostazioni di diagnostica dell'integrità).>

  3. Selezionare Aggiungi impostazione di diagnostica.

  4. Assegnare un nome all'impostazione della diagnostica.

  5. Selezionare NetworkAccessTrafficLogs.

  6. Selezionare i dettagli di destinazione per dove inviare i log. Scegliere una o tutte le destinazioni seguenti. Vengono visualizzati campi aggiuntivi, a seconda della selezione.

    • Invia all'area di lavoro Log Analytics: selezionare i dettagli appropriati dai menu visualizzati.
    • Archivio in un account di archiviazione: specificare il numero di giorni in cui conservare i dati nelle caselle Giorni di conservazione visualizzate accanto alle categorie di log. Selezionare i dettagli appropriati dai menu visualizzati.
    • Trasmettere a un hub eventi: selezionare i dettagli appropriati dai menu visualizzati.
    • Invia alla soluzione partner: selezionare i dettagli appropriati dai menu visualizzati.

Condizioni per l’Utilizzo

L'uso delle Accesso privato Microsoft Entra e delle Accesso a Internet Microsoft Entra esperienze e funzionalità di anteprima è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali sono stati ottenuti i servizi. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy ridotti o diversi, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nel componente aggiuntivo per la protezione dei dati dei prodotti e servizi Microsoft ("DPA") e qualsiasi altro avviso fornito con l'anteprima.

Passaggi successivi