Jak używać dzienników platformy Microsoft 365 wzbogaconego o globalny bezpieczny dostęp

W przypadku ruchu firmy Microsoft przepływającego przez program Microsoft Entra Internet Access dla usług firmy Microsoft, chcesz uzyskać wgląd w wydajność, środowisko i dostępność aplikacji platformy Microsoft 365 używanych przez organizację. Dzięki globalnemu bezpiecznemu dostępowi dzienniki inspekcji platformy Microsoft 365 można łatwo wzbogacić o informacje potrzebne do uzyskania tych szczegółowych informacji. Dzienniki można zintegrować z narzędziem do zarządzania informacjami i zdarzeniami zabezpieczeń innych firm (SIEM) w celu dalszej analizy.

W tym artykule opisano informacje zawarte w dziennikach oraz sposób ich użycia do uzyskania powyższych wniosków.

Wymagania wstępne

Aby korzystać z wzbogaconych dzienników, potrzebne są następujące role, konfiguracje i subskrypcje:

Role i uprawnienia

• Rola Administrator zabezpieczeń jest wymagana do eksportowania dzienników ruchu sieciowego Globalnej Sieci Bezpiecznego Dostępu w ustawieniach diagnostycznych.

Konfiguracje

• Profil firmy Microsoft — upewnij się, że profil ruchu firmy Microsoft jest włączony. Profil przekazywania ruchu firmy Microsoft jest wymagany do przechwytywania ruchu kierowanego do usług Platformy Microsoft 365, co jest podstawą wzbogacania dzienników.
• Najemca wysyłający dane — potwierdza, że ruch, zgodnie z konfiguracją profili przesyłania dalej, jest dokładnie tunelowany do usługi Globalnego Bezpiecznego Dostępu.
• Konfiguracja ustawień diagnostycznych — skonfiguruj ustawienia diagnostyczne firmy Microsoft Entra, aby skierować dzienniki do wyznaczonego punktu końcowego, takiego jak obszar roboczy usługi Log Analytics lub obszar roboczy usługi Sentinel. Wymagania dotyczące poszczególnych punktów końcowych różnią się i opisano w sekcji Konfigurowanie ustawień diagnostycznych w tym artykule.
• Eksportowanie tabeli dziennika OfficeActivity — tabela OfficeActivity musi zostać wyeksportowana do tego samego obszaru roboczego Log Analytics lub Microsoft Sentinel co dzienniki ruchu GSA, lub do systemu SIEM lub dziennika innych firm.

Subskrypcje

• Produkt wymaga licencjonowania, aby włączyć profil przekazywania ruchu dla usług firmy Microsoft. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.

Należy skonfigurować punkt końcowy, do którego chcesz kierować dzienniki przed skonfigurowaniem ustawień diagnostycznych. Wymagania dotyczące poszczególnych punktów końcowych różnią się i są opisane w sekcji Konfigurowanie ustawień diagnostycznych.

Co dostarczają dzienniki

Dzienniki inspekcji platformy Microsoft 365 zawierają informacje o obciążeniach platformy Microsoft 365, dzięki czemu można przeglądać dane diagnostyczne sieci, dane wydajności i zdarzenia zabezpieczeń związane z aplikacjami platformy Microsoft 365. Wzbogacone właściwości danych dziennika Globalnego Bezpiecznego Dostępu obejmują informacje o urządzeniach powiązane z aktywnością użytkownika. Jeśli na przykład dostęp do platformy Microsoft 365 zostanie zablokowany dla użytkownika w organizacji, musisz mieć wgląd w sposób łączenia urządzenia użytkownika z siecią.

Te dzienniki zapewniają:

• Dodatkowe informacje dodane do oryginalnych dzienników
• Dokładny adres IP

Wykonując kroki opisane w tym artykule, dzienniki są wzbogacone o więcej informacji, w tym identyfikator urządzenia, system operacyjny i oryginalny adres IP. Wzbogacone dzienniki programu SharePoint zawierają informacje o plikach, które zostały pobrane, przekazane, usunięte, zmodyfikowane lub poddane recyklingu. Usunięte lub poddane recyklingowi elementy listy są również uwzględniane we wzbogaconych dziennikach.

Jak wyświetlić dzienniki

Wyświetlanie wzbogaconych dzienników inspekcji platformy Microsoft 365 jest jednorazowym procesem dwuetapowym. Najpierw należy zebrać dzienniki ruchu sieciowego Global Secure Access oraz dzienniki logów audytu Microsoft 365 do tego samego punktu końcowego (zalecany obszar roboczy to Microsoft Sentinel). Po drugie, należy utworzyć własne zapytanie łączenia, aby połączyć dane między dwiema tabelami lub użyć skoroszytu Microsoft 365 Logs wzbogaconego o Global Secure Access OOTB, który już stosuje wymagane zapytania.

Uwaga

Obecnie tylko dzienniki usługi SharePoint Online są dostępne do wzbogacania dzienników.

Uwaga

Dzienniki inspekcji MS365 zostały poddane zmianie funkcji. Zamiast tworzyć oddzielny nowy strumień dzienników, możesz teraz korzystać z dwóch istniejących tabel dzienników — Microsoft 365 OfficeActivity i Global Secure Access NetworkAccessTraffic — a następnie połączyć dane przy użyciu unikatowego identyfikatora tokenu.

Konfigurowanie ustawień diagnostycznych

Aby wyświetlić wzbogacone dzienniki platformy Microsoft 365, należy wyeksportować lub przesłać strumieniowo dzienniki do punktu końcowego, takiego jak obszar roboczy usługi Log Analytics lub narzędzie SIEM. Punkt końcowy należy skonfigurować przed skonfigurowaniem ustawień diagnostycznych.

Konfigurowanie punktu końcowego

• Aby zintegrować dzienniki z usługą Log Analytics, potrzebny jest obszar roboczy usługi Log Analytics.

  • Utwórz obszar roboczy usługi Log Analytics.
  • Integrowanie dzienników z usługą Log Analytics

• Aby przesłać strumieniowo dzienniki do narzędzia SIEM, należy utworzyć centrum zdarzeń platformy Azure i przestrzeń nazw centrum zdarzeń.

  • Skonfiguruj przestrzeń nazw w usłudze Event Hubs i centrum zdarzeń.
  • Przesyłanie logów do centrum zdarzeń

• Aby zarchiwizować dzienniki na koncie magazynowym, potrzebne jest konto usługi Azure Storage, dla którego masz ListKeys uprawnienia.

  • Utwórz konto usługi Azure Storage.
  • Archiwizuj dzienniki na koncie magazynowym

Wysyłanie dzienników do punktu końcowego

Po utworzeniu punktu końcowego można skonfigurować ustawienia diagnostyczne.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Przejdź do Entra ID>monitorowania i kondycji>ustawień diagnostycznych.

3. Wybierz Dodaj diagnostyczne ustawienie.

4. Nadaj ustawieniu diagnostycznemu nazwę.

5. Wybierz opcję NetworkAccessTrafficLogs.

6. Wybierz szczegóły lokalizacji docelowej, w której chcesz wysłać dzienniki. Wybierz dowolne lub wszystkie poniższe miejsca docelowe. W zależności od wybranego obszaru pojawi się więcej pól.

   • Wyślij do obszaru roboczego usługi Log Analytics: wybierz odpowiednie szczegóły z wyświetlonych menu.
   • Archiwizowanie na koncie magazynu: podaj liczbę dni, przez które chcesz zachować dane w oknach Dni przechowywania, które są wyświetlane obok kategorii dzienników. Wybierz odpowiednie szczegóły z wyświetlonych menu.
   • Przesyłanie strumieniowe do centrum zdarzeń: Wybierz odpowiednie opcje z wyświetlonych menu.
   • Wyślij do rozwiązania partnerskiego: Wybierz odpowiednie szczegóły z wyświetlonych menu.

Następne kroki

• Eksplorowanie globalnych dzienników bezpiecznego dostępu i opcji monitorowania
• Dowiedz się więcej o globalnych dziennikach inspekcji bezpiecznego dostępu (wersja zapoznawcza)
• Wzbogacone dzienniki inspekcji platformy Microsoft 365