Wat zijn externe netwerkstatuslogboeken?

Externe netwerken, zoals een filiaal, zijn afhankelijk van de apparatuur van de klant (CPE) om gebruikers op die locaties te verbinden met de onlinebronnen en services die ze nodig hebben. Gebruikers verwachten dat CPE functioneert, zodat ze hun werk kunnen doen. Als u iedereen verbonden wilt houden, moet u de status van de IPSec-tunnel en de BGP-routeadvertentie (Border Gateway Protocol) garanderen. Deze langlopende tunnel- en routeringsgegevens zijn de sleutels voor de status van uw externe netwerk.

In dit artikel worden verschillende methoden beschreven voor het openen en analyseren van de externe netwerkstatuslogboeken.

• Toegang tot logboeken in het Microsoft Entra-beheercentrum of de Microsoft Graph API
• Logboeken exporteren naar Log Analytics of een SIEM-hulpprogramma (Security Information and Events Management)
• Logboeken analyseren met behulp van een Azure-werkmap voor Microsoft Entra
• Logboeken voor langetermijnopslag downloaden

Vereisten

Als u de externe netwerkstatuslogboeken in het Microsoft Entra-beheercentrum wilt bekijken, hebt u het volgende nodig:

• Een van de volgende rollen: Globale beveiligingstoegangsbeheerder of beveiligingsbeheerder.
• Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.
• Er zijn afzonderlijke rollen vereist voor toegang tot de logboeken met de Microsoft Graph API en integratie met Log Analytics en Azure Workbooks.

De logboeken weergeven

Als u de externe netwerkstatuslogboeken wilt weergeven, kunt u het Microsoft Entra-beheercentrum of de Microsoft Graph API gebruiken.

Microsoft Entra-beheercentrum

De statuslogboeken van externe netwerken weergeven in het Microsoft Entra-beheercentrum:

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een globale beheerder voor beveiligde toegang.

2. Blader naar de statuslogboeken van global Secure Access>Monitor>Remote Network.

   

Microsoft Graph API

Globale statuslogboeken voor externe netwerken van Secure Access kunnen worden bekeken en beheerd met Behulp van Microsoft Graph op het /beta eindpunt.

U hebt een van de volgende machtigingen nodig voor toegang tot de logboeken met de Microsoft Graph API:

• Directory.ReadWrite.All
• NetworkAccess.Read.All
• NetworkAccess.ReadWrite.All
• NetworkAccess-Reports.Read.All

Toegang krijgen tot externe netwerkstatuslogboeken met Microsoft Graph API:

1. Meld u aan bij Graph Explorer.
2. Selecteer GET als de HTTP-methode.
3. Selecteer BETA als api-versie.
4. Voer de volgende query uit.

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

Antwoord (afgekapt):

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

Diagnostische instellingen configureren voor het exporteren van logboeken

De integratie van logboeken met een SIEM-hulpprogramma, zoals Log Analytics, wordt geconfigureerd via diagnostische instellingen in Microsoft Entra-id. Dit proces wordt uitgebreid beschreven in het artikel Diagnostische instellingen voor Microsoft Entra configureren voor activiteitenlogboeken .

Voor het configureren van diagnostische instellingen hebt u het volgende nodig:

• Toegang van beveiligingsbeheerder .
• Een Log Analytics-werkruimte.

De basisstappen voor het configureren van diagnostische instellingen zijn als volgt:

1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar diagnostische instellingen voor identiteitsbewaking>en status>.

3. Eventuele bestaande diagnostische instellingen worden weergegeven in de tabel. Selecteer instellingen bewerken om een bestaande instelling te wijzigen of selecteer Diagnostische instelling toevoegen om een nieuwe instelling te maken.

4. Geef een naam op.

5. Selecteer de RemoteNetworkHealthLogs (en eventuele andere logboeken) die u wilt opnemen.

   

6. Selecteer de bestemmingen waarnaar u de logboeken wilt verzenden.

7. Selecteer het abonnement en de bestemming in de vervolgkeuzelijsten die worden weergegeven.

8. Selecteer de knop Opslaan.

Notitie

Het kan tot drie dagen duren voordat de logboeken in de bestemming worden weergegeven.

Zodra uw logboeken naar Log Analytics zijn doorgestuurd, kunt u profiteren van de volgende functies:

• Maak waarschuwingsregels om een melding te ontvangen voor zaken zoals een BGP-tunnelfout.
  • Zie Een waarschuwingsregel maken voor meer informatie.
• Visualiseer de gegevens met een Azure-werkmap voor Microsoft Entra (behandeld in de volgende sectie).
• Integreer logboeken met Microsoft Sentinel voor beveiligingsanalyse en bedreigingsinformatie.
  • Volg de quickstart Microsoft Sentinel onboarden voor meer informatie.

Logboeken analyseren met een werkmap

Azure Workbooks voor Microsoft Entra bieden een visuele weergave van uw gegevens. Zodra u een Log Analytics-werkruimte en diagnostische instellingen hebt geconfigureerd om uw logboeken te integreren met Log Analytics, kunt u een werkmap gebruiken om de gegevens te analyseren via deze krachtige hulpprogramma's.

Bekijk deze nuttige bronnen voor werkmappen:

• Een Azure-werkmap maken
• Identiteitswerkmappen gebruiken
• Een werkmapwaarschuwing maken

Logboeken downloaden

Er is een downloadknop beschikbaar in alle logboeken, zowel binnen Global Secure Access als Microsoft Entra Monitoring en status. U kunt logboeken downloaden als een JSON- of CSV-bestand. Zie Logboeken downloaden voor meer informatie.

Als u de resultaten van de logboeken wilt beperken, selecteert u Filter toevoegen. U kunt filteren op:

• Beschrijving
• Id van extern netwerk
• Bron-IP
• Doel-IP
• Aantal geadverteerd BGP-routes

In de volgende tabel worden alle velden in de statuslogboeken van het externe netwerk beschreven.

Name	Beschrijving
Datum/tijd gemaakt	Tijd van het genereren van oorspronkelijke gebeurtenissen
Bron-IP-adres	Het IP-adres van de CPE. Het IP-/doel-IP-adrespaar van de bron is uniek voor elke IPsec-tunnel.
Doel-IP-adres	Het IP-adres van de Microsoft Entra-gateway. Het IP-/doel-IP-adrespaar van de bron is uniek voor elke IPsec-tunnel.
Status	Tunnel verbonden: deze gebeurtenis wordt gegenereerd wanneer een IPsec-tunnel tot stand is gebracht. De verbinding met de tunnel is verbroken: deze gebeurtenis wordt gegenereerd wanneer een IPsec-tunnel wordt verbroken. BGP verbonden: deze gebeurtenis wordt gegenereerd wanneer een BGP-verbinding tot stand is gebracht. De verbinding met BGP is verbroken: deze gebeurtenis wordt gegenereerd wanneer een BGP-verbinding uitvalt. Extern netwerk actief: deze periodieke statistiek wordt elke 15 minuten gegenereerd voor alle actieve tunnels.
Beschrijving	Optionele beschrijving van de gebeurtenis.
Geadverteerd aantal BGP-routes	Optioneel aantal BGP-routes dat wordt geadverteerd via de IPsec-tunnel. Deze waarde is 0 voor tunnelverbinding, tunnelverbinding, BGP-verbonden en niet-verbonden BGP-gebeurtenissen.
Verzonden bytes	Optioneel aantal bytes dat vanuit de bron naar het doel is verzonden via een tunnel gedurende de afgelopen 15 minuten. Deze waarde is 0 voor tunnelverbinding, tunnelverbinding, BGP-verbonden en niet-verbonden BGP-gebeurtenissen.
Ontvangen bytes	Optioneel aantal bytes dat door de bron is ontvangen via een tunnel gedurende de afgelopen 15 minuten. Deze waarde is 0 voor tunnelverbinding, tunnelverbinding, BGP-verbonden en niet-verbonden BGP-gebeurtenissen.
Id van extern netwerk	Id van het externe netwerk waarmee de tunnel is gekoppeld.

Volgende stappen

• Verrijkte Microsoft 365-logboeken inschakelen
• Algemene logboeken voor Secure Access-verkeer verkennen (preview)