De uitgebreide Microsoft 365-logboeken van Global Secure Access gebruiken

Met uw Microsoft-verkeer dat via de Microsoft Entra Private Internet-service stroomt, wilt u inzicht krijgen in de prestaties, ervaring en beschikbaarheid van de Microsoft 365-apps die uw organisatie gebruikt. De verrijkte Microsoft 365-logboeken bieden u de informatie die u nodig hebt om deze inzichten te verkrijgen. U kunt de logboeken integreren met een SIEM-hulpprogramma (Security Information and Event Management) van derden voor verdere analyse.

In dit artikel worden de informatie in de logboeken beschreven en hoe u ze exporteert.

Vereisten

Als u de verrijkte logboeken wilt gebruiken, hebt u de volgende rollen, configuraties en abonnementen nodig:

Rollen en machtigingen

• Een rol globale beheerder is vereist om de verrijkte Microsoft 365-logboeken in te schakelen.
• Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.
• Als u het Microsoft Traffic Forwarding-profiel wilt gebruiken, wordt een Microsoft 365 E3-licentie aanbevolen.

Configuraties

• Microsoft-profiel : zorg ervoor dat het Microsoft-profiel is ingeschakeld. Microsoft Traffic Forwarding-profiel is vereist om verkeer vast te leggen dat is gericht op Microsoft 365-services, wat essentieel is voor verrijking van logboeken.
• Microsoft 365 Common- en Office Online-verkeersbeleid : vereist voor verrijking van logboeken. Zorg ervoor dat deze is ingeschakeld.
• Tenant die gegevens verzendt: bevestigt dat verkeer, zoals geconfigureerd in doorstuurprofielen, nauwkeurig wordt getunneld naar de Global Secure Access-service.
• Configuratie van diagnostische instellingen: stel diagnostische instellingen van Microsoft Entra in om de logboeken te kanaalen naar een aangewezen eindpunt, zoals een Log Analytics-werkruimte. De vereisten voor elk eindpunt verschillen en worden beschreven in de sectie Diagnostische instellingen configureren van dit artikel.

Abonnementen

• Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.
• Microsoft 365 E3-licentie : aanbevolen voor het gebruik van het Microsoft-profiel voor het doorsturen van verkeer.

U moet het eindpunt configureren voor de locatie waar u de logboeken wilt routeren voordat u diagnostische instellingen configureert. De vereisten voor elk eindpunt variëren en worden beschreven in de sectie Diagnostische instellingen configureren.

Wat de logboeken bieden

De verrijkte Microsoft 365-logboeken bieden informatie over Microsoft 365-workloads, zodat u diagnostische netwerkgegevens, prestatiegegevens en beveiligingsgebeurtenissen kunt bekijken die relevant zijn voor Microsoft 365-apps. Als de toegang tot Microsoft 365 bijvoorbeeld wordt geblokkeerd voor een gebruiker in uw organisatie, hebt u inzicht nodig in hoe het apparaat van de gebruiker verbinding maakt met uw netwerk.

Deze logboeken bieden:

• Verbeterde latentie
• Aanvullende informatie toegevoegd aan oorspronkelijke logboeken
• Nauwkeurig IP-adres

Deze logboeken zijn een subset van de logboeken die beschikbaar zijn in de Microsoft 365-auditlogboeken. De logboeken zijn verrijkt met meer informatie, waaronder de apparaat-id, het besturingssysteem en het oorspronkelijke IP-adres. Verrijkte SharePoint-logboeken bieden informatie over bestanden die zijn gedownload, geüpload, verwijderd, gewijzigd of gerecycled. Verwijderde of gerecyclede lijstitems worden ook opgenomen in de verrijkte logboeken.

De logboeken weergeven

Het weergeven van de verrijkte Microsoft 365-logboeken is een proces in twee stappen. Eerst moet u de logboekverrijking van Global Secure Access inschakelen. Ten tweede moet u diagnostische instellingen voor Microsoft Entra configureren om de logboeken naar een eindpunt te routeren, zoals een Log Analytics-werkruimte.

Notitie

Op dit moment zijn alleen SharePoint Online-logboeken beschikbaar voor logboekverrijking.

De logboekverrijking inschakelen

De verrijkte Microsoft 365-logboeken inschakelen:

1. Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar algemene>instellingen voor globale instellingen voor Secure Access.>

3. Selecteer het type Microsoft 365-logboeken dat u wilt inschakelen.

4. Selecteer Opslaan.

   

Het duurt maximaal 72 uur voordat de verrijkte logboeken volledig zijn geïntegreerd met de service.

Diagnostische instellingen configureren

Als u de verrijkte Microsoft 365-logboeken wilt bekijken, moet u de logboeken exporteren of streamen naar een eindpunt, zoals een Log Analytics-werkruimte of een SIEM-hulpprogramma. Het eindpunt moet worden geconfigureerd voordat u diagnostische instellingen kunt configureren.

Een eindpunt configureren

• Als u logboeken wilt integreren met Log Analytics, hebt u een Log Analytics-werkruimte nodig.

  • Maak een Log Analytics-werkruimte.
  • Logboeken integreren met Log Analytics

• Als u logboeken naar een SIEM-hulpprogramma wilt streamen, moet u een Azure Event Hub en een Event Hub-naamruimte maken.

  • Een Event Hubs-naamruimte en een Event Hub instellen.
  • Logboeken streamen naar een Event Hub

• Als u logboeken wilt archiveren naar een opslagaccount, hebt u een Azure-opslagaccount nodig waarvoor u machtigingen hebt ListKeys .

  • Maak een Azure-opslagaccount.
  • Logboeken archiveren in een opslagaccount

Logboeken verzenden naar een eindpunt

Wanneer uw eindpunt is gemaakt, kunt u diagnostische instellingen configureren.

1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar diagnostische instellingen voor identiteitsbewaking>en status>.

3. Selecteer Diagnostische instelling toevoegen.

4. Geef uw diagnostische instelling een naam.

5. Selecteer EnrichedOffice365AuditLogs.

6. Selecteer de doelgegevens voor de locatie waar u de logboeken wilt verzenden. Kies een of alle volgende bestemmingen. Er worden meer velden weergegeven, afhankelijk van uw selectie.

   • Verzenden naar Log Analytics-werkruimte: selecteer de juiste details in de menu's die worden weergegeven.
   • Archiveren naar een opslagaccount: geef het aantal dagen op dat u de gegevens wilt bewaren in de vakken Retentiedagen die naast de logboekcategorieën worden weergegeven. Selecteer de juiste details in de menu's die worden weergegeven.
   • Stream naar een Event Hub: Selecteer de juiste details in de menu's die worden weergegeven.
   • Verzenden naar partneroplossing: selecteer de juiste details in de menu's die worden weergegeven.

In het volgende voorbeeld worden de verrijkte logboeken naar een Log Analytics-werkruimte verzonden. Hiervoor moet u de werkruimte Abonnement en Log Analytics selecteren in de menu's die worden weergegeven.

Gebruiksvoorwaarden

Uw gebruik van de Microsoft Entra-privétoegang en Microsoft Entra-internettoegang preview-ervaringen en -functies is onderhevig aan de voorwaarden van de online online servicevoorwaarden van de overeenkomst(en) waaronder u de services hebt verkregen. Previews kunnen onderhevig zijn aan verminderde of andere verplichtingen op het gebied van beveiliging, naleving en privacy, zoals verder wordt uitgelegd in de universele licentievoorwaarden voor onlineservices en de Microsoft-gegevensbeschermingstoevoeging ('DPA') en eventuele andere kennisgevingen die bij de preview worden geleverd.

Volgende stappen

• De globale secure access-logboeken en bewakingsopties verkennen
• Meer informatie over auditlogboeken van Global Secure Access (preview)
• Verrijkte Microsoft 365-auditlogboeken