Come usare i log del traffico di accesso sicuro globale (anteprima)
Il monitoraggio del traffico per l'accesso sicuro globale (anteprima) è un'attività importante per garantire che il tenant sia configurato correttamente e che gli utenti ottengano la migliore esperienza possibile. I log del traffico di accesso sicuro globale forniscono informazioni dettagliate su chi accede alle risorse, da dove accedono e su quali azioni sono state eseguite.
Questo articolo descrive come usare i log del traffico per l'accesso sicuro globale.
Prerequisiti
- Ruolo di accesso sicuro globale Amministrazione istrator in Microsoft Entra ID.
- L'anteprima richiede una licenza microsoft Entra ID P1. Se necessario, è possibile acquistare licenze o ottenere licenze di valutazione.
Funzionamento dei log del traffico
I log di accesso sicuro globale forniscono i dettagli del traffico di rete. Per comprendere meglio questi dettagli e come è possibile analizzare tali dettagli per monitorare l'ambiente, è utile esaminare i tre livelli dei log e la relazione tra loro.
Un utente che accede a un sito Web rappresenta una sessione e all'interno di tale sessione potrebbero essere presenti più connessioni e all'interno di tale connessione potrebbero essere presenti più transazioni.
- Sessione: una sessione viene identificata dal primo URL a cui accede un utente. Tale sessione potrebbe quindi aprire molte connessioni, ad esempio un sito di notizie che contiene più annunci da diversi siti.
- Connessione ion: una connessione include l'indirizzo IP di origine e di destinazione, la porta di origine e di destinazione e il nome di dominio completo (FQDN). I componenti di connessione comprendono la tupla 5.
- Transazione: una transazione è una coppia di richieste e risposte univoca.
All'interno di ogni istanza del log è possibile visualizzare l'ID connessione e l'ID transazione nei dettagli. Usando i filtri, è possibile esaminare tutte le connessioni e le transazioni per una singola sessione.
Come visualizzare i log del traffico
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.
- Accesso sicuro globale (anteprima)>Monitorare>i log del traffico.
Nella parte superiore della pagina viene visualizzato un riepilogo di tutte le transazioni e una suddivisione per ogni tipo di traffico. Selezionare i pulsanti di accesso a Microsoft 365 o Privato per filtrare i log in base a ogni tipo di traffico.
Nota
Al momento, le informazioni sull'ID sessione non sono disponibili nei dettagli del log.
Visualizzare i dettagli del log
Selezionare un log dall'elenco per visualizzare i dettagli. Questi dettagli forniscono informazioni preziose che possono essere usate per filtrare i log per dettagli specifici o per risolvere i problemi di uno scenario. I dettagli possono essere aggiunti come colonna e usati per filtrare i log.
Opzioni filtro e colonna
I log del traffico possono fornire molti dettagli, quindi per avviare solo alcune colonne sono visibili. Abilitare e disabilitare le colonne in base alle attività di analisi o risoluzione dei problemi eseguite, perché i log potrebbero risultare difficili da visualizzare con troppe colonne selezionate. Le opzioni di colonna e filtro sono allineate a ogni elemento nei dettagli dell'attività.
Selezionare Colonne nella parte superiore della pagina per modificare le colonne visualizzate.
Per filtrare i log del traffico in base a un dettaglio specifico, selezionare il pulsante Aggiungi filtro e quindi immettere i dettagli da filtrare.
Ad esempio, se si vogliono esaminare tutti i log da una connessione specifica:
Selezionare i dettagli del log e copiare da
connectionId
Dettagli attività.Selezionare Aggiungi filtro e scegliere Connessione ID di Connessione.
Nel campo visualizzato incollare e
connectionId
selezionare Applica.
Scenari di risoluzione dei problemi
I dettagli seguenti possono essere utili per la risoluzione dei problemi e l'analisi:
- Se si è interessati alle dimensioni del traffico inviato e ricevuto, abilitare le colonne Byte inviati e Byte ricevuti . Selezionare l'intestazione di colonna per ordinare i log in base alle dimensioni dei log.
- Se si esamina l'attività di rete per un utente rischioso, è possibile filtrare i risultati in base al nome dell'entità utente e quindi esaminare i siti a cui accedono.
- Per cercare il traffico verso i tipi di siti Web che si desidera bloccare o consentire, abilitare la colonna Categoria Web.
I dettagli del log forniscono informazioni preziose sul traffico di rete. Non tutti i dettagli sono definiti nell'elenco seguente, ma i dettagli seguenti sono utili per la risoluzione dei problemi e l'analisi:
- ID transazione: identificatore univoco che rappresenta la coppia richiesta/risposta.
- Connessione ion ID: identificatore univoco che rappresenta la connessione che ha avviato il log.
- Categoria di dispositivi: tipo di dispositivo da cui è stata avviata la transazione. Client o rete remota.
- Azione: azione eseguita nella sessione di rete. Consentito o negato.
Configurare le impostazioni di diagnostica per esportare i log
È possibile esportare i log del traffico di accesso sicuro globale in un endpoint per ulteriori analisi e avvisi. Questa integrazione è configurata nelle impostazioni di diagnostica di Microsoft Entra.
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.
Passare a Identity Monitoring and health Diagnostic settings (Monitoraggio identità>e impostazioni di diagnostica dell'integrità).>
Selezionare Aggiungi impostazione di diagnostica.
Assegnare un nome all'impostazione della diagnostica.
Selezionare
NetworkAccessTrafficLogs
.Selezionare i dettagli di destinazione per dove inviare i log. Scegliere una o tutte le destinazioni seguenti. Vengono visualizzati campi aggiuntivi, a seconda della selezione.
- Invia all'area di lavoro Log Analytics: selezionare i dettagli appropriati dai menu visualizzati.
- Archivio in un account di archiviazione: specificare il numero di giorni in cui conservare i dati nelle caselle Giorni di conservazione visualizzate accanto alle categorie di log. Selezionare i dettagli appropriati dai menu visualizzati.
- Trasmettere a un hub eventi: selezionare i dettagli appropriati dai menu visualizzati.
- Invia alla soluzione partner: selezionare i dettagli appropriati dai menu visualizzati.
Condizioni per l’Utilizzo
L'uso delle Accesso privato Microsoft Entra e delle Accesso a Internet Microsoft Entra esperienze e funzionalità di anteprima è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali sono stati ottenuti i servizi. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy ridotti o diversi, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nel componente aggiuntivo per la protezione dei dati dei prodotti e servizi Microsoft ("DPA") e qualsiasi altro avviso fornito con l'anteprima.
Passaggi successivi
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per