O que são os registros de integridade da rede remota?

Visão geral

As redes remotas, como uma filial, dependem do CPE (equipamento local do cliente) para conectar os usuários nesses locais aos recursos e serviços online necessários. Os usuários esperam que o CPE funcione para que possam realizar o trabalho. Para manter todos conectados, é necessário garantir a integridade do túnel IPSec e do anúncio de rota BGP (Border Gateway Protocol). Essas informações de roteamento e túnel de execução prolongada são as chaves para a integridade da rede remota.

Este artigo descreve vários métodos para acessar e analisar os logs de integridade de rede remota.

• Verificar logs no centro de administração do Microsoft Entra ou na API do Microsoft Graph
• Exportar logs para o Log Analytics ou uma ferramenta SIEM (Gerenciamento de Informações e Eventos de Segurança)
• Analisar logs usando uma Pasta de Trabalho do Azure para Microsoft Entra
• Baixar logs para armazenamento de longo prazo

Pré-requisitos

Para exibir os logs de integridade de rede remota no centro de administração do Microsoft Entra, você precisa:

• Uma das seguintes funções: Administrador global de acesso seguro ou administrador de segurança.
• O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento do What is Global Secure Access. Se necessário, você pode comprar licenças ou obter licenças de avaliação.
• São necessárias funções separadas para acessar os logs com a API do Microsoft Graph e integrar com o Log Analytics e Pastas de Trabalho do Azure.

Visualizar os logs

Para exibir os logs de integridade da rede remota, você pode usar o Centro de administração do Microsoft Entra ou a API do Microsoft Graph.

Centro de administração do Microsoft Entra

Para exibir os logs de integridade de rede remota no centro de administração do Microsoft Entra:

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador global de acesso seguro.

2. Navegue até Acesso Seguro Global>Monitor>logs de integridade da rede remota.

   

Microsoft Graph API

Os logs de integridade de rede remota do Acesso Seguro Global podem ser exibidos e gerenciados usando o Microsoft Graph no ponto de extremidade /beta.

Você precisa de uma das seguintes permissões para acessar os logs com a API do Microsoft Graph:

• Directory.ReadWrite.All
• NetworkAccess.Read.All
• NetworkAccess.ReadWrite.All
• NetworkAccess-Reports.Read.All

Para acessar logs de integridade de rede remota com a API do Microsoft Graph:

1. Entre no Explorador do Graph.
2. Selecione GET como o método HTTP.
3. Selecione BETA como a versão da API.
4. Execute a seguinte consulta:

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

Resposta (truncada):

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

Configurar as configurações de diagnóstico para exportar logs

A integração de logs com uma ferramenta SIEM, como o Log Analytics, é configurada por meio de configurações de diagnóstico no Microsoft Entra ID. Esse processo é abordado em detalhes no artigo Definir configurações de diagnóstico do Microsoft Entra para logs de atividades .

Para definir configurações de diagnóstico, você precisa do seguinte:

• Acesso do Administrador de Segurança .
• Um workspace do Log Analytics.

As etapas básicas para definir as configurações de diagnóstico são as seguintes:

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue até Entra IDMonitoramento & IntegridadeConfigurações de Diagnóstico.

3. Todas as configurações de diagnóstico existentes aparecem na tabela. Selecione editar configurações para alterar uma configuração existente ou selecione Adicionar configuração de diagnóstico para criar uma nova configuração.

4. Forneça um nome.

5. Selecione o RemoteNetworkHealthLogs (e quaisquer outros logs) que você deseja incluir.

   

6. Selecione os destinos para os quais você quer enviar os logs.

7. Selecione a assinatura e o destino nos menus suspensos que aparecem.

8. Selecione o botão Salvar .

Observação

Pode levar até três dias para que os logs comecem a aparecer no destino.

Depois que seus logs forem roteados para o Log Analytics, você poderá usufruir dos seguintes recursos:

• Crie regras de alerta para ser notificado sobre itens como uma falha de túnel BGP.
  • Para obter mais informações, consulte Criar uma regra de alerta.
• Visualize os dados com uma Pasta de Trabalho do Azure para Microsoft Entra (abordada na próxima seção).
• Integre logs ao Microsoft Sentinel para análise de segurança e inteligência contra ameaças.
  • Para obter mais informações, siga o Início Rápido do Microsoft Sentinel integrado.

Analisar logs com uma Pasta de Trabalho

As Pastas de Trabalho do Azure para Microsoft Entra fornecem uma representação visual de seus dados. Depois de definir um workspace do Log Analytics e as configurações de diagnóstico para integrar seus logs ao Log Analytics, você poderá usar uma Pasta de Trabalho para analisar os dados por meio dessas ferramentas poderosas.

Confira estes recursos úteis para pastas de trabalho:

• Criar uma pasta de trabalho do Azure
• Como usar Cadernos de Identidade
• Criar um alerta de pasta de trabalho

Baixar logs

Um botão de Download está disponível em todos os logs, tanto no Global Secure Access quanto no Monitoramento e Saúde do Microsoft Entra. Você pode baixar os logs como um arquivo JSON ou CSV. Para obter mais informações, consulte Como baixar logs.

Para restringir os resultados dos logs, selecione Adicionar filtro. Você pode filtrar por:

• Descrição
• ID de rede remota
• IP de origem
• IP de destino
• Contagem de rotas BGP anunciadas

A tabela a seguir descreve cada um dos campos nos logs de integridade de rede remota.

Nome	Descrição
Data e hora de criação	Horário de geração do evento original
Endereço IP de Origem	O endereço IP do CPE. O par de endereços IP de origem/IP de destino é exclusivo para cada túnel IPsec.
Endereço IP de Destino	O endereço IP do gateway do Microsoft Entra. O par de endereços IP de origem/IP de destino é exclusivo para cada túnel IPsec.
Situação	Túnel conectado: Esse evento é gerado quando um túnel IPsec é estabelecido com êxito. Túnel desconectado: Esse evento é gerado quando um túnel IPsec é desconectado. BGP conectado: Esse evento é gerado quando uma conectividade BGP é estabelecida com êxito. BGP desconectado: Esse evento é gerado quando uma conectividade BGP fica inoperante. Rede remota ativa: Essa estatística periódica é gerada a cada 15 minutos para todos os túneis ativos.
Descrição	Descrição opcional do evento.
Contagem de rotas BGP anunciadas	Contagem opcional de rotas BGP anunciadas pelo túnel IPsec. Esse valor é 0 para eventos de túnel conectado, túnel desconectado, BGP conectado e BGP desconectado.
Bytes enviados	Número opcional de bytes enviados da origem para o destino em um túnel nos últimos 15 minutos. Esse valor é 0 para eventos de túnel conectado, túnel desconectado, BGP conectado e BGP desconectado.
Bytes recebidos	Número opcional de bytes enviados para a origem pelo destino em um túnel nos últimos 15 minutos. Esse valor é 0 para eventos de túnel conectado, túnel desconectado, BGP conectado e BGP desconectado.
ID de rede remota	ID da rede remota à qual o túnel está associado.

Próximas etapas

• Habilitar logs aprimorados do Microsoft 365
• Explorar logs de tráfego do Acesso Seguro Global (versão prévia)