Verkeerslogboeken van Global Secure Access gebruiken (preview)

Het bewaken van het verkeer voor Global Secure Access is een belangrijke activiteit om ervoor te zorgen dat uw tenant correct is geconfigureerd en dat uw gebruikers de best mogelijke ervaring krijgen. De globale logboeken voor Secure Access-verkeer (preview) bieden inzicht in wie toegang heeft tot welke resources, waar ze toegang tot deze resources hebben en welke actie heeft plaatsgevonden.

In dit artikel wordt beschreven hoe u de verkeerslogboeken voor Global Secure Access gebruikt.

Vereisten

• Een globale rol Secure Access Administrator in Microsoft Entra ID.
• Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.

Hoe de verkeerslogboeken werken

De global Secure Access-logboeken bieden details van uw netwerkverkeer. Als u deze details beter wilt begrijpen en hoe u deze gegevens kunt analyseren om uw omgeving te bewaken, is het handig om de drie niveaus van de logboeken en hun relatie met elkaar te bekijken.

Een gebruiker die toegang heeft tot een website vertegenwoordigt één sessie, en binnen die sessie kunnen er meerdere verbindingen zijn, en binnen die verbinding kunnen er meerdere transacties zijn.

• Sessie: Een sessie wordt geïdentificeerd door de eerste URL die een gebruiker opent. Die sessie kan vervolgens veel verbindingen openen, bijvoorbeeld een nieuwssite die meerdere advertenties van verschillende sites bevat.
• Verbinding: Een verbinding bevat het bron- en doel-IP-adres, de bron- en doelpoort en de FQDN (Fully Qualified Domain Name). De verbindingsonderdelen bestaan uit de 5 tuples.
• Transactie: Een transactie is een uniek aanvraag- en antwoordpaar.

Binnen elk logboekexemplaren ziet u de verbindings-id en transactie-id in de details. Met behulp van de filters kunt u alle verbindingen en transacties voor één sessie bekijken.

De verkeerslogboeken weergeven

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
2. Globale Secure Access>Monitor-verkeerslogboeken>.

Bovenaan de pagina wordt een overzicht van alle transacties weergegeven, evenals een uitsplitsing voor elk type verkeer. Selecteer de microsoft 365 - of privétoegangsknoppen om de logboeken te filteren op elk verkeerstype.

Notitie

Op dit moment is sessie-id-informatie niet beschikbaar in de logboekgegevens.

De logboekgegevens weergeven

Selecteer een logboek in de lijst om de details weer te geven. Deze details bieden waardevolle informatie die kan worden gebruikt om de logboeken te filteren op specifieke details of om problemen met een scenario op te lossen. De details kunnen worden toegevoegd als een kolom en worden gebruikt om de logboeken te filteren.

Filter- en kolomopties

De verkeerslogboeken kunnen veel details bevatten, dus om slechts enkele kolommen te starten, zijn zichtbaar. Schakel de kolommen in en uit op basis van de analyse- of probleemoplossingstaken die u uitvoert, omdat het lastig kan zijn om de logboeken weer te geven met te veel geselecteerde kolommen. De kolom- en filteropties worden uitgelijnd met elk item in de details van de activiteit.

Selecteer Kolommen boven aan de pagina om de weergegeven kolommen te wijzigen.

Als u de verkeerslogboeken wilt filteren op een specifiek detail, selecteert u de knop Filter toevoegen en voert u vervolgens de details in waarop u wilt filteren.

Als u bijvoorbeeld alle logboeken van een specifieke verbinding wilt bekijken:

1. Selecteer het logboekgegevens en kopieer de connectionId gegevens uit de activiteitsgegevens.

2. Selecteer Filter toevoegen en kies Verbindings-id.

3. Plak de connectionId en selecteer Toepassen in het veld dat wordt weergegeven.

   

Scenario’s voor probleemoplossing

De volgende details kunnen nuttig zijn voor het oplossen en analyseren van problemen:

• Als u geïnteresseerd bent in de grootte van het verkeer dat wordt verzonden en ontvangen, schakelt u de kolommen Verzonden Bytes en Ontvangen Bytes in. Selecteer de kolomkop om de logboeken te sorteren op de grootte van de logboeken.
• Als u de netwerkactiviteit voor een riskante gebruiker bekijkt, kunt u de resultaten filteren op principal-naam van de gebruiker en vervolgens de sites bekijken die ze openen.
• Als u wilt zoeken naar verkeer naar de typen websites die u wilt blokkeren of toestaan, schakelt u de kolom Webcategorie in.

De logboekgegevens bieden waardevolle informatie over uw netwerkverkeer. Niet alle details worden gedefinieerd in de onderstaande lijst, maar de volgende details zijn handig voor probleemoplossing en analyse:

• Transactie-id: unieke id die het aanvraag-/antwoordpaar vertegenwoordigt.
• Verbindings-id: unieke id die de verbinding vertegenwoordigt die het logboek heeft gestart.
• Apparaatcategorie: apparaattype waarbij de transactie is gestart. Client of extern netwerk.
• Actie: De actie die is ondernomen op de netwerksessie. Toegestaan of geweigerd.

Diagnostische instellingen configureren voor het exporteren van logboeken

U kunt de global Secure Access-verkeerslogboeken (preview) exporteren naar een eindpunt voor verdere analyse en waarschuwingen. Deze integratie is geconfigureerd in diagnostische instellingen van Microsoft Entra.

1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar diagnostische instellingen voor identiteitsbewaking>en status>.

3. Selecteer Diagnostische instelling toevoegen.

4. Geef uw diagnostische instelling een naam.

5. Selecteer NetworkAccessTrafficLogs.

6. Selecteer de doelgegevens voor de locatie waar u de logboeken wilt verzenden. Kies een of alle volgende bestemmingen. Er worden extra velden weergegeven, afhankelijk van uw selectie.

   • Verzenden naar Log Analytics-werkruimte: selecteer de juiste details in de menu's die worden weergegeven.
   • Archiveren naar een opslagaccount: geef het aantal dagen op dat u de gegevens wilt bewaren in de vakken Retentiedagen die naast de logboekcategorieën worden weergegeven. Selecteer de juiste details in de menu's die worden weergegeven.
   • Stream naar een Event Hub: Selecteer de juiste details in de menu's die worden weergegeven.
   • Verzenden naar partneroplossing: selecteer de juiste details in de menu's die worden weergegeven.

Volgende stappen

• Meer informatie over het verkeersdashboard
• De auditlogboeken voor globale beveiligde toegang weergeven
• De verrijkte Microsoft 365-logboeken weergeven