Delen via


De uitgebreide Microsoft 365-logboeken van Global Secure Access gebruiken

Met uw Microsoft-verkeer dat via Microsoft Entra Internet Access voor Microsoft Services stroomt, wilt u inzicht krijgen in de prestaties, ervaring en beschikbaarheid van de Microsoft 365-apps die uw organisatie gebruikt. Met Global Secure Access kunnen Microsoft 365-auditlogboeken eenvoudig worden verrijkt met de informatie die u nodig hebt om deze inzichten te verkrijgen. U kunt de logboeken integreren met een SIEM-hulpprogramma (Security Information and Event Management) van derden voor verdere analyse.

In dit artikel worden de informatie in de logboeken beschreven en hoe u deze kunt gebruiken voor de bovenstaande inzichten.

Vereisten

Als u de verrijkte logboeken wilt gebruiken, hebt u de volgende rollen, configuraties en abonnementen nodig:

Rollen en machtigingen

  • De rol Beveiligingsbeheerder is vereist voor het exporteren van globale netwerkverkeerslogboeken voor beveiligde toegang in diagnostische instellingen.

Configuraties

  • Microsoft-profiel : zorg ervoor dat het Microsoft-verkeersprofiel is ingeschakeld. Microsoft Traffic Forwarding-profiel is vereist om verkeer vast te leggen dat is gericht op Microsoft 365-services, wat essentieel is voor verrijking van logboeken.
  • Tenant die gegevens verzendt: bevestigt dat verkeer, zoals geconfigureerd in doorstuurprofielen, nauwkeurig wordt getunneld naar de Global Secure Access-service.
  • configuratie van diagnostische instellingen : stel diagnostische instellingen van Microsoft Entra in om de logboeken te kanaalen naar een aangewezen eindpunt, zoals een Log Analytics-werkruimte of Sentinel-werkruimte. De vereisten voor elk eindpunt verschillen en worden beschreven in de sectie Diagnostische instellingen configureren van dit artikel.
  • De OfficeActivity-logboektabel exporteren: de Tabel OfficeActivity moet worden geëxporteerd naar dezelfde LogAnalytics- of Microsoft Sentinel-werkruimte als de GSA-verkeerslogboeken of een ander SIEM- of logboeksysteem van derden.

Abonnementen

U moet het eindpunt configureren voor de locatie waar u de logboeken wilt routeren voordat u diagnostische instellingen configureert. De vereisten voor elk eindpunt variëren en worden beschreven in de sectie Diagnostische instellingen configureren.

Wat de logboeken bieden

Microsoft 365-auditlogboeken bieden informatie over Microsoft 365-workloads, zodat u diagnostische netwerkgegevens, prestatiegegevens en beveiligingsgebeurtenissen kunt controleren die relevant zijn voor Microsoft 365-apps. Met de verrijkte eigenschappen van Global Secure Access-logboekgegevens worden apparaatgegevens met betrekking tot de gebruikersactiviteiten opgenomen. Als de toegang tot Microsoft 365 bijvoorbeeld wordt geblokkeerd voor een gebruiker in uw organisatie, hebt u inzicht nodig in hoe het apparaat van de gebruiker verbinding maakt met uw netwerk.

Deze logboeken bieden:

  • Aanvullende informatie toegevoegd aan oorspronkelijke logboeken
  • Precieze IP-adres

Na de stappen in dit artikel worden de logboeken verrijkt met meer informatie, waaronder de apparaat-id, het besturingssysteem en het oorspronkelijke IP-adres. Verrijkte SharePoint-logboeken bieden informatie over bestanden die zijn gedownload, geüpload, verwijderd, gewijzigd of gerecycled. Verwijderde of gerecyclede lijstitems worden ook opgenomen in de verrijkte logboeken.

De logboeken weergeven

Het weergeven van verrijkte Microsoft 365-auditlogboeken is een eenmalig proces met twee stappen. Eerst moet u Global Secure Access Network Traffic-logboeken en Microsoft 365 Unified Audit-logboeken verzamelen bij hetzelfde eindpunt (Microsoft Sentinel is de aanbevolen werkruimte). Ten tweede moet u uw eigen joinquery maken om de gegevens tussen de twee tabellen te correleren of de werkmap Global Secure Access OOTB Enriched Microsoft 365 Logs gebruiken die al de benodigde query's toepast.

Notitie

Op dit moment zijn alleen SharePoint Online-logboeken beschikbaar voor logboekverrijking.

Notitie

MS365-auditlogboeken hebben een functiewijziging ondergaan. In plaats van een afzonderlijke nieuwe stroom logboeken te maken, kunt u nu gebruikmaken van de twee bestaande logboektabellen( Microsoft 365 OfficeActivity en Global Secure Access NetworkAccessTraffic-tabellen) en vervolgens de gegevens combineren met behulp van een unieke token-id.

Diagnostische instellingen configureren

Als u de verrijkte Microsoft 365-logboeken wilt bekijken, moet u de logboeken exporteren of streamen naar een eindpunt, zoals een Log Analytics-werkruimte of een SIEM-hulpprogramma. Het eindpunt moet worden geconfigureerd voordat u diagnostische instellingen kunt configureren.

Een eindpunt configureren

Logboeken verzenden naar een eindpunt

Wanneer uw eindpunt is gemaakt, kunt u diagnostische instellingen configureren.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als op zijn minst een Beveiligingsbeheerder.

  2. Blader naar Entra ID>Bewaking en gezondheid>Diagnostische instellingen.

  3. Selecteer Diagnostische instelling toevoegen.

  4. Geef uw diagnostische instelling een naam.

  5. Selecteer NetworkAccessTrafficLogs.

  6. Selecteer de doelgegevens voor de locatie waar u de logboeken wilt verzenden. Kies een of alle volgende bestemmingen. Er worden meer velden weergegeven, afhankelijk van uw selectie.

    • Verzenden naar Log Analytics-werkruimte: selecteer de juiste details in de menu's die worden weergegeven.
    • Archiveren naar een opslagaccount: geef het aantal dagen op dat u de gegevens wilt bewaren in de vakken Retentiedagen die naast de logboekcategorieën worden weergegeven. Selecteer de juiste details in de menu's die worden weergegeven.
    • Stream naar een Event Hub: Selecteer de juiste details in de menu's die worden weergegeven.
    • Verzenden naar partneroplossing: selecteer de juiste details in de menu's die worden weergegeven.

Volgende stappen